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本 书 以 “应 用 实例 导航 ”为 主线 ， 由 浅 入 深 、 系 统 全 面 地 介绍 了 网 络 安全 中 所 遇 到 的 一 些 问 题 和 常 
的 网 络 安全 设备 的 使 用 方法 。 

本 书 以 企业 网 络 应 用 的 安全 需求 作为 出 发 点 ， 以 实例 的 形式 陈述 攻击 行为 ， 然 后 对 攻击 原理 进行 分 
析 ， 并 通过 部 署 相 应 的 设备 防止 攻击 再 次 发 生来 介绍 网 络 安全 。 本 书 结构 清晰 ， 易 教 易学 ， 实 例 丰 富 ， 可 
操作 性 强 ， 注 重 能 力 的 提高 ， 既 可 作为 大 中 专 院 校 的 教材 ， 也 可 作为 各 类 培训 班 的 培训 教材 。 此 外 ， 本 书 
也 可 作为 各 类 企业 网 络 管理 员 及 各 类 网 络 爱好 者 、 企 业 YT 经 理 以 及 网 络 安全 工程 师 的 参考 用 书 。 
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他 山 之 石 ， 可 以 攻 玉 。 一 《诗经 》 
你 应 该 了 解 真相 ， 真 相 会 使 你 自由 。 一 一 《和 圣经 》 
我 之 所 以 成 功 ， 是 因为 站 在 巨人 的 肩膀 上 。 一 一 牛顿 


策划 初衷 


网 管 员 (Network Administrator) 是 国家 劳动 和 社会 保障 部 近年 颁布 的 第 四 批 国 家 职业 标 
准 中 明确 规定 的 一 个 新 兴 职 业 。 网 管 员 职业 要 求 从 业者 具备 一 系列 专业 、 高 端的 计算 机 及 
网 络 操作 技能 。 

为 了 给 广大 网 管 员 提供 一 套 标准 实用 的 高 效 实战 教材 ， 清 华 大 学 出 版 社 在 广泛 调研 与 
充分 论证 的 基础 上 ， 聘 请 了 国内 著名 院 校 资 深 学 者 和 实战 经 验 丰富 的 网 管 专家 ， 历 时 18 个 
月 精心 打造 了 这 套 《 网 管 实战 宝典 》。 本 丛书 由 网 管 员 的 职业 应 用 切入 ， 根 据 网 管 员 的 行业 
内 容 细 划 科目 ， 以 实际 工作 的 项 目 案例 为 主线 ， 解 决 实际 应 用 中 可 能 出 现 的 问题 ， 是 目前 
市 面 上 唯一 从 “网 管 员 职 业 应 用 案例 实战 ”角度 切入 的 精品 丛书 。 本 套 丛书 全 面 介 绍 网 络 


管理 、 设 计 与 维护 的 热点 应 用 案例 ， 痢 析 透 彻 ， 确 保 技 术 的 先进 性 、 实 用 性 和 深入 性 ， 是 
网 络 管理 员 必 备 的 实践 读物 。 


首 推 书目 


《网 管 实战 宝典 》 系 列 首 批 推出 9 本 ， 书 目 如 下 。 
.《 中 型 局 域 网 组 建 一 本 通 》 

网 络 规划 、 设 计 与 配置 》 

Windows Server 2003 配置 与 管理 》 
Windows Server 2003 服务 器 架设 与 管理 》 
网 络 管理 工具 使 用 大 全 》 

网 络 安全 大 全 》 

Linux 服务 器 架设 与 管理 》 

网 络 故障 排除 与 维护 技巧 》 (Windows 版 ) 

网 络 故障 排除 与 维护 技巧 》(Linux 版 ) 
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丛书 特色 


本 从 书 具 有 以 下 主要 特色 。 

1. 针对 性 

从 网 管 员 职 业 应 用 切入 ， 以 网 管 员 的 行业 内 容 细 划 科目 ， 所 介绍 的 内 容 紧 紧 围绕 网 管 
员 必 备 的 知识 与 技能 展开 ， 从 而 突出 针对 性 。 

2. 实用 性 

以 实际 的 项 目 案例 为 主线 ， 解 决 实际 应 用 中 可 能 出 现 的 问题 ， 而 不 仅仅 是 理论 上 的 介 
绍 。 这 些 应 用 案例 是 广大 专业 人 士 多 年 的 网 管 实战 经 验 总 结 ， 对 读者 朋友 有 最 直接 、 最 宝 
贵 的 指导 意义 。 

3. 可 操作 性 

本 丛书 在 介绍 各 种 实际 应 用 配置 方案 时 ， 都 以 图 解 、 截 屏 等 方式 与 清晰 的 步骤 相 结合 ， 
避免 泛泛 而 谈 ， 并 且 着 重 强调 了 各 步 配置 细节 ， 方 便 读 者 按 步 骤 操 作 ， 快 速 掌握 案例 操作 
过 程 。 

4. 先进 性 


本 丛书 所 介绍 的 各 种 网 络 技术 和 方案 均 是 当前 最 主流 ， 甚 至 最 新 的 ， 读 者 通过 阅读 本 
丛书 即 可 了 解 当前 最 主流 ， 甚 至 最 新 的 网 络 技术 与 应 用 方案 。 

5. 深入 性 

丛书 中 的 应 用 案例 讲解 细致 入 微 ， 分 析 透 彻 ， 过 程 完 整 ， 从 而 确保 读者 能 够 完全 理解 
与 掌握 ， 以 便 在 实际 工作 中 应 用 与 借鉴 。 

6. THE dE 

丛书 以 大 量 点 评 与 拓展 、 注 意 、 提 示 等 特色 段落 为 辅 线 ， 帮 助 读者 理解 与 加 深 关键 技 
术 ， 使 读者 学 得 轻松 ， 记 得 深刻 ， 用 得 灵活 。 


读者 对 象 


T 


1. 从 事 网 管 员 职业 的 人 员 。 
2. 有 志 于 网 络 管理 员 职 业 的 读者 。 
3. 大 专 院 校 计 算 机 相关 专业 师 生 ， 以 及 网 络 培训 班 学 员 。 


创作 团队 


我 们 一 直 深信 一 流 的 团队 ， 奉 献 一 流 的 作品 ， 成 就 一 流 的 读者 。 本 丛书 创 作 团队 来 源 
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于 著名 院 校 资 深 学 者 、 实 战 经 验 丰富 的 网 管 专家 ， 他 们 长 期 工作 于 网 管 一 线 ， 有 多 年 的 网 


络 管 理 与 设计 经 历 ， 经 验 丰 富 ， 实 力 雄 厚 。 
互动 交流 


读者 的 进步 ， 是 我 们 的 心愿 。 本 从 书 愿 为 读者 提供 全 面 的 技术 支持 ， 服 务 方式 包括 

(1) 技术 讲座 。 将 在 适当 的 时 间 组 织 专家 进行 技术 巡 讲 ， 介 绍 最 新 的 技术 并 当面 解答 
读者 的 疑问 。 

(2) 版 本 升级 。 本 丛书 将 跟踪 最 新 网 络 技术 发 展 动 态 ， 及 时 更 新 版 本 ， 为 读者 提供 最 
新 的 网 络 技术 。 

(3) 问题 解答 。 如 果 您 阅读 本 丛书 的 过 程 中 ， 发 现任 何 问题 或 疑问 ， 或 者 有 什么 意见 
或 建议 ， 请 发 邮件 至 我 们 的 答疑 信箱 Book21Press@126.com， 我 们 将 及 时 为 您 提供 解决 
方案 。 


特别 致谢 


在 此 ， 我 们 对 丛书 所 选用 的 参考 文献 的 著作 者 ， 以 及 丛书 所 引用 网 站 及 其 他 相关 著作 
者 表示 真诚 的 感谢 。 感 谢 为 本 丛书 出 版 提供 帮助 的 各 界 人 士 。 


知识 是 一 个 宝库 ， 实 践 是 打开 这 个 宝库 的 钥匙 。 
借助 于 别人 成 功 的 实践 经 验 ， 便 是 捷径 。 
我 们 乐意 与 您 一 同 分 享 成 功 的 网 管 实践 经 验 。 
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随 着 网 络 和 信息 技术 的 快速 发 展 和 日 益 普及 ， 信 息 化 成 为 现代 企业 生存 的 必要 条 件 。 
随 着 企业 内 部 信息 化 程度 逐渐 加 深 ， 网 络 管理 员 这 一 职业 应 运 而 生 。 能 否 管 理 好 企业 的 网 
络 事 关 企 业 的 成 败 。 

清华 大 学 出 版 社 策划 出 版 了 网 管 实战 宝典 系列 从 书 ， 本 书 是 该 系列 教材 之 一 。 


1. 关于 网 络 安全 


网 络 安全 实现 通常 很 难 ， 而 且 实 现 的 成 本 很 高 ， 在 电子 通信 成 为 无 处 不 在 的 通信 手段 
的 今天 ， 电 子 商务 等 商业 实践 在 企业 网 络 基础 设施 上 逐渐 展开 ， 各 个 企业 都 试图 了 解 和 控 
制 与 之 相关 的 风险 。 企 业 网 络 安全 变 得 越 来 越 流行 ， 同 时 也 使 得 人 们 感到 有 些 担忧 。 绝 对 
安全 的 网 络 是 不 存在 的 ， 任 何 设 备 都 有 配置 错误 或 者 缺陷 。 因 此 网 络 安全 是 一 个 长 期 的 过 
程 ， 并 且 需 要 进行 日 常 的 风险 审计 和 风险 消除 。 本 书 就 是 基于 这 样 的 原则 ， 以 企业 网 络 应 
用 的 安全 需求 作为 出 发 点 ， 以 实例 的 形式 陈述 攻击 行为 ， 然 后 对 攻击 原理 进行 分 析 ， 并 通 
过 部 署 相应 的 设备 防止 攻击 再 次 发 生来 介绍 网 络 安全 。 同 时 也 介绍 了 日 常安 全 审计 的 要 点 ， 
从 而 可 有 效 地 防止 网 络 风险 。 


2. 本 书 阅读 指南 


本 书 由 浅 入 深 、 系 统 全 面 地 介绍 了 网 络 安全 中 所 遇 到 的 一 些 常 见 问题 和 常用 的 网 络 安 
全 设备 使 用 方法 。 全 书 共 分 13 章 。 
第 1 章 主要 介绍 网 络 安全 的 基本 原理 。 通 过 分 析 攻 击 事件 的 来 源 描述 了 网 络 安全 的 关 
键 要 素 以 及 用 户 应 具备 的 网 络 安全 意识 。 同 时 讲述 了 一 些 常见 的 攻击 实例 ， 并 对 其 进行 了 
风险 分 析 。 
第 2 章 主 要 介绍 了 防范 常见 网 络 攻击 事件 的 一 些 方法 和 解决 方案 ， 并 简要 介绍 了 路 由 
A DK VPN, IPS 等 各 种 网 络 安全 设备 的 使 用 。 
第 3 章 从 几 个 不 同 的 方面 讨论 网 络 设备 的 安全 。 首 先是 网 络 设备 的 物理 安全 ， 其 中 包 
括 供 电 安 全 、 环 境 安全 等 ， 然 后 介绍 了 各 种 网 络 设备 的 访问 权限 及 相应 的 漏洞 攻击 和 防范 
方法 等 ， 最 后 详细 介绍 了 网 络 元 余 的 一 些 协 议和 实施 方案 。 
第 4 章 主要 介绍 路 由 器 及 路 由 协议 安全 ， 通 过 配置 安全 的 路 由 协议 和 访问 控制 使 得 路 
器 更 加 安全 。 
第 5 章 主要 介绍 交换 网 络 安全 , 并 介绍 了 处 理 广 播 攻击 、MAC 攻击 、VLAN 欺骗 、 ARP 
病毒 等 二 层 攻 击 的 方法 。 
第 6 章 主 要 介绍 AAA 体系 结构 以 及 基于 Radius 的 身份 认证 体系 ， 同 时 也 介绍 了 
Windows 电子 证 书 服务 及 PKI 证 书 体系 。 
第 7 章 主要 介绍 网 络 安全 接 入 以 及 终端 安全 , 同时 介绍 了 部 署 802.1x、Cisco NAC 以 及 
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WSUS 自动 更 新 服务 的 配置 方式 。 同 时 还 介绍 了 基于 终端 的 安全 防护 产品 CSA/CSA-MC 。 
第 8 章 主要 介绍 防火 墙 的 工作 原理 ， 同 时 介绍 了 Cisco PIX/ASA 防火 墙 、 微 软 ISA 防 
火 墙 以 及 Linux 防火 墙 的 配置 方式 。 

第 9 章 主 要 介绍 入 侵 检 测 系统 和 入 侵 防 御 系 统 的 配置 方式 , 并 讲述 了 常见 IPS/IDS 系统 
AIDS 的 部 署 ， 最 后 介绍 了 基于 Cisco 的 DDoS 防御 技术 。 

第 10 章 主 要 介绍 远程 访问 的 知识 ， 并 且 介 绍 了 IPSec VPN、SSL VPN. ISA Server VPN 
和 Linux VPN 的 配置 方式 ， 同 时 还 介绍 了 常见 的 VPDN 远程 接 入 配置 。 

第 11 章 主要 介绍 网 络 管理 软件 ， 如 何 通 过 对 日 志 进 行 统一 管理 获得 较 快 的 攻击 响应 
速度 。 

第 12 章 主 要 介绍 基于 EFS 的 文件 加 密 系统 和 RMS 文件 权限 控制 系统 等 。 

第 13 章 根 据 各 种 企业 规模 进行 了 网 络 安全 方案 设计 ， 并 根据 企业 的 规模 和 资金 状况 设 
计 了 多 种 网 络 安全 升级 方案 。 


3. 本 书 特色 与 优点 


(1) 系统 地 讲述 了 局 域 网 面临 的 安全 问题 及 防范 措施 。 本 书 对 局 域 网 络 中 的 关键 软 硬 件 
设备 ， 如 操作 系统 、 服 务 器 、 客 户 机 、 路 由 器 、 交 换 机 和 防火 墙 的 安全 性 进行 了 分 析 ， 并 
针对 这 些 设 备 的 安全 隐患 指出 了 加 固 的 方法 ， 其 目的 是 从 整体 上 提高 局 域 网 络 的 安全 防 逢 
能 力 。 

Q) 重视 实用 性 和 可 操作 性 。 本 书 偏 重 于 实际 操作 方法 的 讲述 ， 目 的 是 为 那些 从 事 网 络 
管理 及 网 络 安全 规划 与 设计 的 从 业 人 员 提 供 一 定 的 安全 操作 参考 。 另 外 ， 对 网 络 安全 感 兴 
趣 的 读者 也 可 以 从 本 书 中 学 习 到 网 络 防御 的 基本 知识 和 技巧 。 

(3) 以 “应 用 实例 导航 ”为 牵引 。 本 书 在 介绍 各 种 网 络 入 侵 手 段 与 应 对 措施 时 ， 都 通过 
一 个 应 用 实例 导航 进行 导入 ， 这 些 应 用 实例 大 多 数 是 作者 在 实际 工作 中 遇 到 的 问题 ， 骨 在 
为 读者 解决 大 型 网 络 安全 问题 提供 思路 和 借鉴 。 

(4) 网 络 安全 产品 选择 具有 代表 性 。 目 前 ， 网 络 安全 产品 众多 ， 使 用 与 配置 方法 各 不 相 
同 ， 但 原理 基本 相同 。 由 于 Cisco 和 Microsoft 所 生产 的 网 络 安 全 产品 在 局 域 网 使 用 广泛 ， 
技术 先进 ， 本 书 就 以 Cisco 和 Microsoft 的 网 络 安全 产品 为 例 ， 介 绍 如 何 实施 和 管理 网 络 
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随 着 Internet 的 迅 独 发 展 以 及 电子 交易 的 逐渐 增多 , 基于 网 络 的 应 用 程序 和 服务 使 所 有 
公司 信息 资源 的 安全 风险 增加 。 在 资产 评估 方面 ， 信 息 资 产 将 成 为 一 种 非常 重要 的 受 保护 
资产 。 如 果 没 有 充分 的 保护 ， 个 人 、 企 业 和 政府 将 面临 巨大 的 资产 流失 风险 。 

网 络 安全 主要 是 保护 数字 资产 的 机 密 性 和 完整 性 ， 以 及 确保 这 些 数 字 资 产 的 可 用 性 。 
根据 这 个 原则 ， 本 章 将 介绍 如 何 应 对 多 种 网 络 威胁 。 通 常 ， 这 些 威胁 源 于 不 同 种 类 的 攻击 
行为 ， 或 者 来 自 一些 软 硬件 的 错误 配置 以 及 最 终 用 户 的 疏忽 等 。 有 一 点 是 值得 我 们 注意 的 ， 
我 们 无 法 完全 消除 网 络 威胁 ， 但 我 们 可 以 对 网 络 进行 有 效 的 安全 评估 和 风险 管理 ， 从 而 使 
网 络 威胁 降 到 最 低 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

网 络 安全 的 基本 原理 
攻击 事件 的 来 源 

网 络 安全 的 关键 要 素 
如 何 提高 用 户 安全 意识 
如 何 进行 网 络 安全 分 析 


1.1 网 络 安全 的 基本 原理 


今 仿 他 信 个 


1.1.1 网 络 发 展 及 需求 


传统 的 网 络 安 全 观点 认为 ， 封 闭 式 的 网 络 具 有 较 高 的 安全 性 ， 而 且 当 时 的 运营 商 受 技 
术 限制 ， 远 程 接 入 的 封闭 式 网 络 通常 仅 能 使 用 调制 解 调 器 拨号 的 方式 ， 如 图 1-1 所 示 。 


远程 办 公设 施 


图 1-1 封闭 式 网 络 
但 随 着 Internet 的 发 展 ， 各 种 新 技术 不 断 涌现 ， 网 络 交流 更 加 顺畅 ， 企 业 办 公 也 逐渐 转 
移 到 Internet 这 样 开 放 式 的 网 络 上 。 这 就 带 来 一 个 矛 与 盾 的 问题 : 一 方面 需要 将 自己 公司 的 
信息 公布 于 众 ， 另 一 方面 又 需要 将 敏感 数据 仅 供 授权 用 户 访问 。 


网 络 安全 大 全 


大 量 的 安全 风险 是 由 局 域 网 和 个 人 电脑 接 入 Internet 而 产生 的 。 特 别 是 对 于 公司 ， 它 的 
一 些 公 共 接 口 的 服务 器 和 电脑 成 为 泄密 的 最 大 来 源 。 而 这 些 供 访 客 和 公众 使 用 的 设备 ， 通 
常 没 有 专人 维护 ， 导 致 系统 和 应 用 软件 补丁 更 新 不 及 时 ， 从 而 非常 容易 受到 攻击 。 通 常 我 
们 把 这 种 攻击 叫做 “0 day” 入 侵 ， 因 为 这 些 入 侵 借鉴 已 有 的 漏洞 报告 ， 仅 需要 0 天 的 时 间 
就 能 完成 攻击 。 
我 们 对 于 这 种 攻击 的 解决 办 法 是 采用 深度 的 防御 模型 ， 也 就 是 说 ， 使 用 防火 墙 将 公共 
成 的 服务 器 和 接 入 的 计算 机 与 核心 工作 区 域 隔 离 。 在 防火 墙 的 产品 定义 中 ， 通 常 借鉴 军 
-的 定义 方式 ， 将 与 公众 接触 的 计算 机 定义 为 非 军事 化 区 域 (Demilitarized Zone, DMZ), 
FK DMZ 区 域 。 例 如 Web 服务 器 、 邮 件 服务 器 、DNS 服务 器 、 前 台 查 询 计算 机 等 。 
的 文件 服务 器 、 数 据 库 服务 器 等 关键 应 用 都 放置 在 军事 化 区 域 中 ， 受 到 良好 的 保护 ， 娘 
1-2 所 示 。 即 便 DMZ 区 域 的 设备 因 某 些 “0 day” 攻 击 而 导致 瘫痪 ， apina i 
的 隔离 而 无 法 访问 内 部 网 络 。 


EREACA 


ET 


( . Intemet 


SN 内 部 办 公 网 络 
文件 服务 器 


1-2 DMZ 区 域 


在 此 ， 虽 然 我 们 抵御 了 来 自 外 部 的 攻击 ， 但 有 一 个 因素 我 们 必须 考虑 ， 来 自 内 部 的 威 
胁 通 常 更 大 。 最 近 的 统计 数据 表明 ，80% 的 网 络 安全 问题 来 自 网 络 内 部 。 所 以 我 们 需要 采取 
一 些 措施 来 降低 内 部 的 威胁 。 首 先 需 要 限制 内 部 用 户 的 访问 权限 ， 使 得 只 有 授权 用 户 能 够 
连接 到 数据 库 服务 器 、 文 件 服 务 器 、 打 印 服 务 器 等 关键 应 用 服务 器 。 随 着 技术 的 发 展 ，U 
稚 、 移 动 硬盘 也 成 为 非常 容易 泄密 的 工具 ， 所 以 也 需要 限制 内 部 用 户 使 用 外 接 硬 件 的 权利 ， 
避免 数据 被 穷 ; 同时 也 需要 避免 非 授 权 电脑 接 入 内 部 网 络 。 在 这 个 方面 , 通常 使 用 的 是 NAC 
接 入 访问 控制 系统 和 Windows 的 一 些 组 策略 来 完成 ， 稍 后 的 章节 我 们 将 详细 介绍 。 

本 书 使 用 的 一 些 常用 图 例 ， 具 体 如 图 1-3 所 示 。 


路 由 器 交换 机 集线器 防火 墙 


cza 
ee a 


PIX 防 火 墙 路 由 器 防火 墙 ”CS-MARS m 


t3 图 例 
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攻击 事件 的 来 源 


除了 少 部 分 黑客 基于 研究 目的 带 来 的 攻击 外 ， 大 多 数 的 网 络 攻击 出 于 一 些 特定 的 目的 。 


根据 《2006 年 度 中 国 网 络 安全 报告 》 的 结论 ， 截 止 到 2006 年 12 月 25 日 ， 据 不 完全 统计 ， 
中 国 网 络 发 生 的 网 络 攻击 事件 中 ， 脚 本 入 侵 比 例 为 53%， 拒 绝 服务 攻击 比例 为 26%， 漏 洞 


3661 个 ; 


用 比例 为 13%， 暴 力 猜 解 比例 为 8%， 社 会 工程 学 比例 为 5%， 其 他 方法 为 1%. 但 与 2005 
年 同期 相 比 ，2006 年 度 的 网 络 攻击 事件 要 多 出 1 倍 之 多 。 据 不 完全 统计 ， 自 2006 年 1 月 1 
HE, E 2006 年 12 月 25 日 ， 中 国 网 站 被 算 改 的 数量 达 25 820 个 。 其 中 政府 类 网 站 有 


企业 类 网 站 为 11 828 个 (其 中 博客 运营 类 被 攻击 数量 达 1683 个 ); 教育 \ 培 训 类 被 攻 


网 站 数量 达 2216 个 ， 其 中 : 中 、 职 专 及 中 小 学 网 站 占 73.5%(1628 个 )， 大 学 网 站 的 二 级 
网 站 占 18.0%(398 个 )， 培 训 类 机 构 为 127 个 ， 大 学 一 级 域名 站 点 为 63 个 。 


下 面 是 2006 年 出 现在 我 国 几 个 著名 的 攻击 的 事件 。 


$ 


2006 年 5 H 27 日 ， 某 市 的 区 政府 服务 器 被 入 侵 并 植 入 香港 汇丰 银行 的 假冒 网 站 。 
2006 年 4 月 ， 国 外 多 家 媒体 以 《中 国 的 银行 网 站 被 利用 作 Phishing》 为 题 ， 报 道 
了 中 国 某 银 行 网 站 被 植 入 假冒 Paypal 网 站 的 事件 。 

2006 年 6 月 19 日 ，D 市 某 区 政府 网 站 邮件 服务 器 被 入 侵 并 植 入 电子 港湾 (eBay) 的 
役 冒 网 站 。 
2006 5E 9 H 12 日 ,著名 搜索 引擎 百度 遭受 有 史 以 来 最 大 规模 的 不 明 身 份 黑客 攻击 ， 
导致 百度 搜索 服务 在 全 国 各 地 出 现 了 近 30 分 钟 的 故障 。 

2006 年 9 H 21 日 ， 某 域名 服务 商 “ 新 网 ”域名 解析 服务 器 发 生 故 障 ， 造 成 超过 
30% 在 其 上 注册 的 网 站 无 法 访问 长 达 20 小 时 。“ 新 网 ”官方 确认 此 次 断 网 事件 是 黑 
客 所 为 。 此 事件 被 称 为 中 国 互联 网 的 “9。21 事件 ”。 


在 具体 的 攻击 手法 上 也 有 变化 ， 猜 测 口令 、 物 理 入 侵 、 安 装 键盘 记录 设备 以 及 盗窃 笔 


记 本 电脑 


木马 病毒 等 


件 也 在 上 
1.1.3 


和 网 络 资 


传统 方式 的 攻击 成 功率 逐渐 下 降 ， 而 SQL 注入 、 钩 鱼 、 拒 绝 服务 攻击 以 及 各 类 
击 频率 急剧 上 升 。 更 值得 关注 的 是 ， 内 部 人 员 滥 用 网 络 、 盗 窃 关 键 数据 的 事 
升 。 随 着 无 线 网 络 的 使 用 ， 无 线 网 络 入 侵 也 成 为 一 个 非常 值得 关注 的 焦点 。 


网 络 安全 的 关键 要 素 


Internet 的 成 功 带 来 了 全 球 信息 化 的 一 次 巨大 飞跃 , 但 是 它 必须 以 保护 有 价值 数据 
源 免 受 算 改 和 入 侵 为 基石 。 


1. 网 络 安全 目标 


M. Fites、P. Kratz 等 在 《Control and Security of Computer Information Systems》 中 提出 


了 一 个 被 


$9592 


广泛 采用 的 网 络 安全 性 设计 建议 。 该 建议 包括 以 下 内 容 。 
确定 要 保护 什么 。 

确定 尽力 保护 它 免 于 什么 威胁 。 

确定 威胁 的 可 能 性 。 

以 一 种 相对 廉价 的 方法 来 实现 资产 保护 的 目的 。 


网 络 安全 大 全 a 

仿 “ 不 断 地 检查 这 些 步骤 ， 发 现 弱 点 就 进行 改进 。 

2. 资产 评估 

资产 评估 用 于 实现 网 络 安全 目标 的 第 一 步 ， 需 要 确定 保护 什么 。 通 常 的 资产 评估 仅 对 
网 络 设备 (例如 交换 机 、 路 由 器 、 防 火 墙 、 电 脑 ) 等 实物 以 及 关键 数据 进行 评估 ， 而 忽视 了 这 
些 设 备 上 的 配置 信息 、 用 户 访问 权利 ， 随 着 DDoS 攻击 的 增加 ， 可 用 带宽 和 访问 速率 也 成 
为 资产 评估 一 个 不 可 缺少 的 部 分 。 当 然 资产 评估 随 着 需要 保护 的 资产 数量 增长 还 会 出 现 变 
化 ， 下 面 列 举 了 一 些 重要 的 网 络 资产 。 
jiu: 路 由 器 、 交 换 机 、 防 火 墙 、 入 侵 检测 设备 。 
络 数据 : 数据 服务 器 、 邮 件 服务 器 、Web 服务 器 等 。 
络 带宽 : 链接 网 络 的 链 路 带宽 和 速度 ， 以 及 宛 余 备份 线路 。 
个 人 电脑 : 个 人 电脑 是 否 携带 关键 数据 以 及 个 人 电脑 安全 防护 。 
任意 时 刻 通过 网 络 的 消息 是 否 安全 。 
相 络 身份 识别 是 否 有 效 。 

3. 威胁 评估 

根据 网 络 安全 目标 ， 完 成 资产 评估 后 需要 对 威胁 进行 评估 。 通 常 的 攻击 手段 主要 有 3 
种 类 型 。 

信 ”未 授权 的 网 络 资 源 访 问 。 

令 “ 未 授权 的 网 络 数据 修改 和 操作 。 

今 “ 拒 绝 服务 。 

授权 是 网 络 威胁 的 一 个 重要 环节 ， 给 用 户 授权 通常 可 以 使 用 很 多 方式 ， 最 常见 的 身份 
认证 协议 是 RADIUS (Remote Access Dial-In User Service， 远 程 访问 拨 入 用 户 服务 )、 
TACACS+ (Terminal Access Controller Access Control System， 终 端 访问 控制 器 访问 控制 系统 
Plus). Kerberos 等 。 当 然 ， 还 有 新 兴 的 数字 证 书 、 智 能 卡 、 生 物 界 定 和 目录 服务 等 。 


4. 网 络 安全 策略 


当 完 成 对 威胁 的 评估 后 , 就 需要 进行 相应 安全 策略 的 指定 工作 了 。 按照 RFC-2196 站 点 
安全 手册 的 建议 ， 可 以 从 如 下 几 个 方面 入 手指 定 相 应 的 安全 策略 。 

1) ”提供 服务 和 保证 安全 

每 个 提供 给 用 户 的 服务 都 会 带 来 安全 上 的 风险 。 对 于 有 的 风险 高 于 受益 的 服务 ， 管 理 
员 可 能 宁愿 选择 取消 它 而 不 去 再 试图 保护 。 

2) “ 易 用 性 和 安全 性 

使 用 起 来 最 简单 的 系统 是 允许 任意 用 户 不 使 用 密码 就 可 以 访问 的 系统 ， 也 就 意味 着 没 
有 任何 安全 性 。 要 求 密 码 使 得 系统 有 些 不 方便 ， 但 是 却 更 安全 了 。 需 要 设备 产生 的 一 次 性 
密码 使 得 系统 更 不 方便 了 ， 但 是 要 安全 得 多 。 

3) “保障 安全 的 开销 和 发 生 损失 的 风险 

保障 安全 的 开销 有 许多 种 : 金钱 (购买 像 防 火 墙 和 一 次 性 密码 生产 器 这 样 的 安全 设备 入 
软件 的 花 销 )、 性 能 (加 密 和 人 解密 要 花费 时 间 ) 和 易 用 性 。 发 生 损 失 的 风险 也 有 许多 级 别 ， 泄 
密 ( 信 息 被 未 授权 的 个 人 所 阅读 )、 数 据 丢 失 ( 信 息 错 误 或 消除 ) 和 服务 损失 (填充 数据 存储 空 
间 、 占 用 运算 资源 和 拒绝 网 络 服务 )。 每 种 开销 都 要 和 每 种 损失 作 权衡 。 
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RFC-2196 中 规定 了 一 个 好 的 网 络 安全 策略 应 包括 如 下 几 个 方面 。 


$ 


$ 
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计算 机 技术 购买 的 指导 方针 。 它 指出 什么 是 必需 的 或 首选 的 ， 指 出 安全 的 特征 ， 
这 些 对 于 已 存在 的 购买 的 政策 和 指导 方针 将 是 补充 。 

隐秘 政策 。 它 规定 了 对 隐秘 的 合理 期 望 ， 比 如 怎么 对 待 电子 邮件 的 监视 、 按 键 记 
录 和 用 户 文件 访问 。 
访问 政策 。 它 通过 列举 用 户 、 操 作 人 员 、 管 理 者 允许 使 用 的 功能 ， 规 定 了 存 取 访 
问 的 权利 和 特权 ， 从 而 保护 资产 不 损失 或 泄密 。 它 会 在 外 部 的 连接 、 数 据 交 流 、 
网 络 连 接 装 置 和 给 系统 添加 新 的 软件 等 情况 下 ， 提 供 指导 方针 。 它 同时 也 要 列 出 
需要 声明 的 信息 (例如 ， 连 接 信息 应 该 提供 关于 授权 使 用 和 线 上 监视 的 警告 ， 而 不 
是 仅仅 简单 地 显示 “欢迎 ”)。 
责任 政策 。 它 规定 了 用 户 、 操 作 人 员 、 管 理 者 的 责任 。 它 应 该 明确 谁 有 审查 的 能 
力 ， 并 提供 突 发 事件 的 处 理 方针 (就 是 如 果 发 现 可 能 被 入 侵 了 要 做 什么 和 联系 谁 )。 
认证 政策 。 它 通过 有 效 的 密码 政策 建立 信任 ， 使 用 对 远程 身份 认证 设置 指导 方针 
的 方法 或 使 用 认证 设备 (这 里 指 一 次 性 密码 和 产生 一 次 性 密码 的 设备 )。 
可 用 说 明 。 它 预计 了 用 户 可 以 使 用 的 资源 。 它 应 该 考虑 到 元 余 和 恢复 的 情况 、 特 
殊 的 工作 时 间 和 停机 维护 的 时 期 。 它 应 该 也 包括 系统 和 网 络 失败 报告 的 连接 信息 。 
信息 技术 系统 和 网 络 维护 政策 。 它 描述 了 人 们 被 允许 怎样 运用 技术 手段 进行 内 部 
和 外 部 的 维护 。 这 里 要 考虑 的 一 个 重要 话题 是 是 否 允 许 远 程 维 护 ， 这 种 访问 怎么 
控制 。 这 里 要 考虑 的 另 一 个 问题 是 外 购 和 怎么 管理 它 。 

侵害 报告 政策 。 它 指出 哪 种 侵害 (秘密 还 是 安全 ， 内 部 还 是 外 部 ) 必 须 报 告 ， 报 告 给 
谁 。 无 危险 的 气氛 和 匿名 报告 将 会 导致 被 发 现 的 侵害 都 更 可 能 报告 上 来 。 

X 息 。 它 向 用 户 、 职 员 和 经 理 提供 每 种 侵害 的 联系 信息 ; 怎么 处 理 外 部 的 关 
于 安全 事件 的 询问 或 什么 可 以 当做 秘 有 的 指导 方针 ， 安 全 程序 和 相关 信息 的 
交叉 参照 ， 例 如 公司 政策 和 政府 的 法 律 规章 。 


对 有 些 安全 政策 (如 在 线 监控 ) 可 能 需要 一 些 调整 , 安全 政策 的 创建 者 在 产生 政策 的 时 候 
应 该 考虑 寻求 法 律 援助 ， 至 少 这 些 政 策 必须 让 法 律 顾 问 过 目 一 下 。 一 旦 安全 政策 已 经 建立 ， 


应 该 清楚 地 与 用 户 、 职 员 和 经 理 进行 交流 ， 让 所 有 人 都 写 下 一 句 话 表明 他 们 已 经 阅读 过 


并 且 同 意 遵守 这 个 政策 。 最 后 ， 安 全 政策 应 该 被 当做 一 个 正式 的 基本 政策 进行 重新 检查 ， 
看 看 它 是 否 成 功 地 支持 了 安全 需求 。 


1.1.4 


实现 条 


用 户 安 全 意识 


正如 前 述 ， 现 在 较 多 的 安全 漏洞 都 是 由 用 户 不 经 意 间 的 一 些 操作 引起 的 ， 每 个 公司 有 
员工 提供 足够 的 训练 来 教育 他 们 如 何 安全 地 使 用 这 些 设备 。 这 种 训练 需要 所 有 设计 、 
维护 网 络 的 人 员 参 与 。 同 时 除了 技术 类 的 培训 外 ， 还 应 该 加 强 内 部 控制 等 。 负 责 网 


络 安全 的 人 员 应 该 对 安全 技术 、 威 胁 评估 、 标 准 威胁 处 理 流 程 及 系统 补丁 及 时 升级 等 进行 


进一步 的 练习 。 而 作为 账号 管理 员 ， 或 者 密码 分 发 人 员 ， 需 要 在 职员 提供 完全 真实 的 信息 后 
才能 进行 相关 口令 的 处 理 ， 但 很 多 时 候 口令 的 泄露 是 因为 没有 被 要 求 出 示 足 够 详细 的 证 件 。 
在 终端 安全 方面 通常 可 以 采用 安全 代理 工具 来 完成 一 些 安 全 性 检查 ， 同 时 ， 还 可 以 通 
过 NAC 网 络 接 入 控制 来 限制 未 授权 的 电脑 接 入 网 络 。 


1.2 网 络 安 全 实例 分 析 


应 用 实例 导航 : A 大 学 网 络 安全 风险 评估 


ARR EE 


A 大 学 是 一 所 历史 悠久 的 全 国 重点 高 校 ， 校 园 网 络 相当 复杂 ， 同 时 它 又 是 某国 家 网 络 
的 骨干 结 点 ， 所 以 网 络 安全 是 一 个 非常 重要 的 环节 。 众 多 的 服务 器 和 接 入 计算 机 使 得 网 络 
维护 难度 相当 大 ， 因 此 需要 对 整个 网 络 进行 相应 的 安全 评估 和 风险 分 析 ， 然 后 做 出 适当 的 
安全 升级 方案 。 


KEREM 
(1) 资产 评估 ; 


(2) 风险 分 析 ; 
(3) 制定 安全 策略 。 


1.2.1 资产 评估 


首先 要 做 的 仍旧 是 资产 评估 ， 通 过 资产 评估 来 确定 网 络 需要 保护 什么 。A 大 学 的 资产 
如 下 所 示 。 

S RAW. 学生 宿舍 网 络 用 户 约 4 万 人 ,办 公 区 各 院 系 共有 近 3000 台 计 算 机 接 入 

网 络 。 

信 ”DNS 服务 器 、 邮 件 服务 器 、 教 学 视频 等 点 播 服 务 器 、BBS 服务 器 、 数 据 库 服 务 器 、 

存储 服务 器 、 学 生 选 课 系统 服务 器 及 财务 和 在 线 办 公 室 服 务 器 等 。 

仿 “链接 各 校区 骨干 网 链 路 为 10Gbps 以 太 网 。 

分 ”链接 ISP 为 教育 网 3Gbps， 中 国电 信 2Gbps， 中 国 网 通 链 路 1Gbps， 中 国 移动 链 路 
1Gbps。 
教育 网 某 骨 干 结 点 ， 其 中 运营 商 级 路 由 器 10 台 。 
交换 机 、 路 由 器 等 设备 来 自 Cisco、Extreme、Foundry、 实 达 、 华 为 等 多 个 厂商 。 
用 户 接 入 采用 IP-MAC 绑 定 策略 。 
简单 的 流量 监控 系统 。 

网 络 管理 员 较 少 ， 并 且 各 信息 系统 开发 独立 。 
仅 有 简单 的 网 络 安全 监控 设备 。 

以 上 是 A 大 学 所 有 与 网 络 有 关 的 硬件 资产 分 析 ， 这 些 网 络 设备 是 要 保护 的 资产 ， 当 然 
资产 中 最 重要 的 并 不 是 这 些 硬件 资产 ， 而 是 各 个 数据 库 中 的 数据 。 从 后 面 的 实例 我 们 将 逐 
渐 看 到 数据 的 价值 远 远 高 于 这 些 硬 件 产 品 。 


信人 人 个 信人 
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1.2.2 BUS 


就 校园 网 络 而 言 ，A 大 学 的 网 络 规模 是 相当 庞大 的 ， 相 当 于 一 个 中 小 型 城市 的 规模 了 。 
而 在 网 络 安全 方面 ， 基 本 上 没有 投入 。2006 年 的 《黑客 防线 》 上 也 介绍 了 在 类 似 情况 下 较 
多 的 网 站 被 成 功 入 侵 的 案例 。 我 们 需要 对 整个 网 络 进行 风险 分 析 ， 并 排 定 系统 重要 程度 ， 
以 采取 不 同 策略 进行 保护 。 下 面 对 每 项 资产 进行 分 类 。 

令 “ 保 密 性 : 避免 未 经 授权 数据 被 传送 到 第 三 方 。 

令 “ 完 整 性 ， 确 保 数据 不 被 修改 和 破坏 。 

€ nr: 网 络 是 否 联 通 ， 应 用 程序 是 否 可 用 ， 服 务 不 正常 时 对 网 络 的 影响 程度 。 

K 1-1 所 示 为 按照 以 上 分 类 制作 的 风险 评级 表 , 根据 各 类 的 重要 程度 分 别 定 为 1 一 10 分 。 


表 1-1 A 大 学 部 分 网 络 资产 风险 评级 表 


资产 完整 性 可 用 性 
教务 系统 5 3 
财务 系统 5 4 
核心 网 络 设备 2 5 
Internet 链 路 2 4 
学 生 宿 舍 网 络 2 2 
5 5 


邮件 服务 器 

风险 分 析 结 论 就 是 各 项 的 总 分 ， 根 据 不 同 的 特点 可 以 采用 不 同 的 安全 措施 ， 并 且 根 据 
安全 等 级 的 不 同 ， 采 用 不 同 的 设备 进行 安全 控制 。 例 如 关键 服务 器 需要 灾难 备份 的 功能 ， 
而 学 生 宿舍 网 络 的 安全 需求 则 相对 低 很 多 。 
1.2.3 制定 安全 策略 

完成 风险 分 析 后 ， 就 可 以 开始 有 针对 性 地 制定 一 系列 风险 策略 了 。 

1. 关键 服务 器 及 网 络 设备 
对 于 财务 、 教 务 系统 的 服务 器 以 及 Mail、DNS、 存 储 等 关键 服务 器 采用 集中 托管 的 方 
式 ， 并 加 载 入 侵 检测 和 防火 墙 系统 ， 同 时 做 好 对 数据 完整 性 要 求 很 高 的 系统 备份 工作 。 在 
使 用 时 间 方 面 ， 对 于 某 些 系统 进行 限时 ， 限 制 IP 地 址 访问 。 
对 于 关键 网 络 设备 ， 例 如 核心 路 由 器 、 汇 聚 路 由 器 等 ， 需 要 进行 双 链 路 备份 。A 大 学 
在 最 近 一 次 网 络 升 级 中 ， 将 传统 的 分 层 网 络 结构 进行 了 扁平 化 处 理 ， 保 证 了 结 点 备份 ， 同 
时 也 保证 了 关键 设备 的 冷 备 份 ， 即 便 出 现 重大 故障 也 能 快速 恢复 。 

2. 访问 策略 

对 于 A 大 学 网 络 而 言 ， 需 要 一 个 相对 安全 的 访问 策略 。 例 如 ，VPN 接 入 仅 部 分 教师 和 
工作 人 员 能 够 访问 链接 ， 并 且 关 键 服务 器 采用 拨 入 后 的 二 次 认证 ， 以 防 受 到 攻击 。 对 于 新 
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内 员工 需要 访问 某 些 资 源 ， 则 必须 由 该 部 门 主管 和 安全 部 门 的 主管 一 起 确认 后 才能 开通 。 
这 样 可 以 避免 因 工作 失误 导致 的 密码 泄露 。 
对 于 无 线 网 络 ， 为 了 方便 用 户 接 入 ， 同 时 又 不 失 安 全 性 ，A 大 学 采用 了 多 个 SSID 接 入 
的 方式 ， 相 对 简单 的 Web 身份 认证 接 入 采用 可 以 广播 的 SSID， 并 且 不 采用 加 密 策 略 。 而 对 
于 可 以 自由 访问 校内 资源 的 网 络 则 采用 了 802.1x 和 WEP 认证 的 接 入 方式 ， 并 且 SSID 不 广 
播 。 这 样 就 很 好 地 在 安全 性 和 易 用 性 方面 取得 了 平衡 。 

3. 身份 认证 

为 了 识别 用 户 身 份 ，A 大 学 采用 了 基于 Radius 的 统一 身份 认证 。 邮 件 系统 、 个 人 存储 、 
无 线 网 络 身份 认证 、 各 种 信息 查询 等 均 使 用 统一 的 账号 。 

同时 对 于 所 有 的 网 络 设备 ， 仅 网 络 中 心 人 员 有 访问 Radius 账号 的 权限 。 对 于 Radius 服 
务 器 的 权限 应 该 仅 掌握 在 安全 主管 的 手中 。 

4. 办 公 网 络 安全 

A 大 学 曾经 因为 某 办 公 室 老 师 私 开 FTP 服务 器 时 设置 了 弱 密 码 而 导致 一 些 敏感 数据 沪 
漏 ， 所 以 ， 对 办 公 区 的 老师 需要 进行 相应 的 安全 培训 。 同 样 学 生 将 电脑 接 入 网 络 的 时 候 ， 
也 需要 注意 自己 的 电脑 是 否 会 对 网 络 造 成 影响 。A 大 学 发 布 了 《A 大 学 网 络 接 入 最 低 安全 
求 》， 并 要 求 所 有 用 户 按照 该 要 求 执行 。 

5. 安全 事故 处 理 
当 出 现 安全 事故 后 ， 或 者 发 生 数 据 盗 用 行为 后 ， 需 要 建立 一 套 手 工 和 自动 报告 的 系统 。 

一 方面 可 以 通过 Cisco Works, Solarwinds 等 网 管 软件 汇报 ; 另 一 方面 ， 也 可 以 通过 一 些 员 
[或 者 其 他 人 匿名 汇报 隐藏 的 攻击 危险 。 

对 于 所 有 的 日 志 ， 安 全 主管 必须 及 时 响应 和 处 理 ， 并 对 故障 进行 快速 修复 。 


1.8 网 络 的 漏洞 与 攻击 


1.3.1 常见 网 络 弱点 


1. TCP/IP 


TCP/IP 是 一 种 开放 式 的 标准 , 在 Internet. 上 被 广泛 使 用 , 但 是 存在 很 多 安全 漏洞 。 例如 
HTTP, FTP 和 1ICMP， 其 本 质 上 就 是 不 安全 的 ; ICMP 对 于 消息 不 作 验 证 就 可 以 发 出 ， 当 收 
到 后 ， 可 以 继续 重 定向 发 送 到 下 一 个 设备 上 ; 而 对 于 SNMP 而 言 ， 它 是 网 络 管理 中 用 得 最 
多 的 消息 ， 但 是 版 本 1 和 版 本 2 中 的 身份 验证 和 访问 控制 等 功能 相当 的 薄弱 ， 而 且 不 具有 
保密 性 ， 对 于 TCP/IP 而 言 ， 容 易 受 到 SYN flood 攻击 ， 也 是 该 协议 不 完善 的 一 个 地 方 。 

所 以 需要 一 系列 相对 安全 的 处 理 方式 来 对 这 些 漏洞 进行 弥补 。 通 常 对 于 远程 结 点 的 访 
问 采用 基于 安全 的 IP. 协议 IP Sec 来 实现 。 而 对 于 其 他 关键 数据 在 发 送 的 时 候 已 经 做 好 了 相 
应 的 处 理 。 


s 9813: 网 络 安全 基础 s 


2. 系统 安全 漏洞 

对 于 操作 系统 而 言 ， 也 存在 很 多 安全 漏洞 ， 许 多 Web 服务 器 及 其 他 关键 数据 受到 的 攻 
击 都 来 自 这 些 漏洞 ,通常 Windows XP/2003/Vista 以 及 Linux, UNIX. MacOSX 都 存在 安全 
漏洞 ， 特 别 应 值得 注意 的 是 ， 这 些 安全 漏洞 通常 在 发 布 后 几 个 小 时 ， 就 有 主机 因 这 些 漏洞 
而 被 攻破 。 

3. 网 络 设备 漏洞 

很 多 网 络 设备 也 有 漏洞 ,例如 Cisco 的 路 由 器 和 交换 机 所 使 用 的 TOS. 软件 通常 也 会 爆 出 
一 些 安全 性 的 漏洞 ， 另 外 像 Juniper 使 用 FreeBSD 系统 作为 控制 平台 ， 所 以 也 会 出 现 一 些 安 
全 性 漏洞 。 这 些 漏洞 将 会 给 网 络 带 来 致命 性 的 打击 。 


1.3.2 ”常见 攻击 方法 


网 络 攻击 ， 从 20 世纪 80 年 代 单纯 使 用 密码 猜测 的 方式 ， 发 展 到 现在 的 SQL 注入 、 网 
络 钓鱼 、 跨 站 攻击 、 溢 出 漏洞 、 拒 绝 服务 攻击 及 社会 工程 学 等 技术 的 使 用 ， 攻 击 难 度 越 来 
越 低 。 网 络 变 得 十 分 脆弱 ， 一 方面 因为 威胁 变 得 越 来 越 复杂 ， 另 一 方面 因为 实施 这 些 威胁 
所 需要 的 知识 越 来 越 简单 。 
1. SQL 注入 


随 着 Internet 的 发 展 ， 基 于 DBMS 的 Web 查询 数据 库 逐 渐 增 多 ， 但 是 Web 制作 行业 门 
槛 不 高 ， 程 序 员 的 水 平和 经 验 也 参差 不 齐 ， 相 当 大 一 部 分 程序 员 在 编写 代码 的 时 候 没有 对 
用 户 输入 数据 的 合法 性 进行 判断 ， 致 使 程序 出 现 安全 隐患 。 攻 击 者 可 以 通过 互联 网 ， 构 造 
一 个 精妙 的 SQL 语句 注入 到 DBMS 中 ， 从 而 获得 访问 权限 。 

SQL 注入 手法 相当 灵活 ， 能 够 根据 不 同 的 情况 进行 具体 的 构造 。 通 常 ， 几 乎 所 有 的 防 
火 墙 对 通过 万 维 网 访问 的 数据 库 请 求 无 法 发 出 及 时 的 和 警报， 所 以 SQL 注入 具有 极 高 的 隐藏 
性 。 下 面 来 看 一 个 常见 的 SQL 注入 的 例子 。 

通常 访问 一 个 网 站 时 ， 会 看 到 如 下 格式 的 URL 信息 : 

http://www.jam.cn/show.asp?ID-521 

它 表 示 服 务 器 正在 运行 类 似 于 “Select* from. 表 名 where 字段 ="&ID"” 的 查询 ， 并 且 
将 查询 结果 返回 客户 端 。 此 时 可 以 采用 如 下 的 方式 注入 : 


http://www.jam.cn /show.asp?ID-444 and user>0 


这 时 ， 服 务 器 运行 “Select * from 表 名 where 字段 =444 and user>0” 这 样 的 查询 。 当 
然 ， 这 个 语句 是 运行 不 下 去 的 ， 肯 定 出 错 。 例 如 ， 错 误 信息 如 下 : 

。 错 误 类 型 : 

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07) 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] 将 nvarchar 值 'jam' 转换 为 数 

据 类 型 为 int 的 列 时 发 生 语 法 错误 。 

show.asp; 第 37 行 
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从 这 个 出 错 信息 中 ， 可 以 获得 以 下 信息 : 该 站 使 用 的 数据 库 是 Microsoft SQL Server, 
连接 方式 采用 ODBC， 连 接 账号 为 jam。 

我 们 猜测 网 站 管理 员 账 号 在 表 login 中 ， 管 理 员 账号 为 admin， 若 想 知 道 管理 员 密 码 ， 
可 以 从 客户 端 接着 提交 这 样 一 个 网 址 : 

http://www.jam.cn /show.asp?ID-444 and (Select password from login where 

user name-'admin')»50 


返回 的 出 错 信息 如 下 : 


。 错 误 类 型 : 

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07) 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] {i varchar 值 'ciscojam' 转 
换 为 数据 类 型 为 int 的 列 时 发 生 语法 错误 。 

/show.asp， 第 37 行 


在 错误 信息 中 ，ciscojam 就 是 管理 员 的 密码 。 

2. 网 络 钓鱼 

网 络 钓鱼 ， 黄 文 为 “Phishing ”( 因 为 它 首先 被 黑客 使 用 在 电话 线路 上 ， 所 以 用 Phone 
的 前 两 个 字母 代替 了 F)。 钓 鱼 攻击 通常 采用 大 量 发 送 垃圾 电子 邮件 的 形式 ， 诱 骗 收 到 邮件 
的 用 户 发 送 自己 相关 的 金融 账号 和 密码 ， 以 及 身份 证 号 等 其 他 号 码 ， 继 而 盗 取现 金 。 

蒙骗 方法 通常 很 简单 ， 例 如 注册 www.lcbc.com 来 模仿 www.icbc.com 等 ， 粗 心 的 用 户 会 
忽视 这 样 的 拼写 错误 。 在 中 国 工 商 银行 的 hotspot.jsp 页 面 上 ， 也 可 以 通过 对 column 函数 进 
行 修改 直接 伪造 页 面 。 代 码 如 下 : 

http://www.icbc.com/news/hotspot.jps?column=Hacked%20by %20jam 

结果 如 图 1-4 所 示 。 


首页 canos .繁体 中 
工行 风物 | 个 人 全 融 RTE 金融 信息 金融 咨询 


@ 中 国 工商 银行 人 才 招 聘 | 公司 业务 ”机构 业务 资产 托管 企业 年 金 


em Mocowenew morca 资产 外 置 | 电子 银行 网 上 银行 电话 银行 手机 银行 
一 一 用 户 登 录 一 一 


个 人 网 上 银行 登录 ) 


“注册 。 演 示 “。 指 南 。 下 载 [Hacked by Jam] 
企业 网 上 银行 登录 


SPUR (den 指南。 下载 
图 1-4 伪造 页 面 


3. 分 布 式 拒绝 服务 


DDoS(Distributed Denial of Service， 分 布 式 拒绝 服务 ) 攻 击 很 简单 ， 即 用 大 量 的 主 
访问 网 络 中 的 某 一 台 机 器 , 导致 其 性 能 下 降 影响 正常 的 服务 . DDoS 是 一 种 简单 的 攻击 
当 某 些 IDC 机 房 服务 器 被 攻破 后 ， 将 其 作为 DDoS 攻击 源 ， 后 果 将 不 堪 设 想 。 同 时 ， 对 于 
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DDoS 攻击， 如 何 找 出 源 地 址 ， 也 是 一 个 非常 困难 的 事情 。 


由 于 DDoS 4 


非常 迅猛 


在 我 国 


上 常 容易 实施 ， 并 且 成 功 几率 非常 高 ， 所 以 在 安全 事件 中 ， 这 类 攻击 增 


的 部 分 ISP 统计 数据 中 显示 ， 有 些 攻击 就 来 自 IDC 机 房 ， 例 如 不 同 的 


络 游戏 服务 商 之 间 的 竞争 等 。 而 且 在 过 去 几 年 较为 重大 的 几 起 安全 事件 中 ， 几 乎 都 是 
DDoS 攻击 引起 的 。 


4. Rootkit 


由 于 网 络 安全 产品 正在 变 得 越 来 越 强 大 ， 攻 击 者 不 得 不 增加 赌注 。2006 年 ，Rootkit 


术 开 始 被 广泛 地 应 用 ， 而 且 有 不 断 增长 的 趋势 。Rootkit 
集 ， 能 够 让 网 络 管 
把 自己 隐藏 起 来 ， 


其 
理 员 访问 一 台 计 算 机 或 者 一 个 网 络 。 一 旦 安装 了 Rootkit， 攻 击 者 就 可 
在 用 户 计 算 机 中 安装 间谍 软件 和 其 他 监视 敲 击 键盘 以 及 修改 记录 文件 


实 是 一 种 功能 更 强大 的 软件 工具 


"2 


1 
由 


v 


X 


以 
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软件 。 虽 然 微 软 发 布 的 Vista 操作 系统 能 够 减少 某 些 Rootkit 的 应 用 , 但 是 Rootkit 还 是 2007 
年 黑客 普遍 使 用 的 技术 。 据 赛 门 铁 克 称 ， 用 户 模式 Rootkit 策略 目前 已 经 非常 普遍 ， 内 核 模 
式 Rootkit 的 使 用 也 在 增长 。 


5， 跨 站 脚本 


通常 对 于 动态 输入 有 URL 参数 、 表 格 元素 、cookies 等 几 种 形式 。 下 面 为 一 个 网 站 使 用 
cookies 来 获取 用 户 名 的 代码 。 


<%@ Language-VBScript $» 

<% If Request.Cookies("userName") <> "" Then 

Dim strRedirectUrl 

strRedirectUrl = "page2.asp?userName-" 

SstrRedirectUrl = strRedirectUrl & Response.Cookies ("userName") 
Response.Redirect (strRedirectUrl) 


Else $5 
<HTML> 
<HEAD> 


<TITLE>jam.cn </TITLE> 


</HEAD> 
<BODY> 


«H2»jam.cn«/H2» 

«FORM method="post" action-"page2.asp"» 

Enter your jam.cn username: 

<INPUT type="text" name-"username"-» 

<INPUT type="submit" name="submit" value="submit"> 


</FORM> 
</BODY> 
</HTML> 


<% End If %> 


假设 ， 第 二 页 用 于 返回 用 户 名 以 示 欢 迎 。 


«$9 Language-VBScript %> 
<% Dim strUserName 
If Request.QueryString("userName")-«» "" Then 


strUserName = Request .QueryString ("userName") 

Else 

Response .Cookies ("userName") = Request .Form ("userName") 
strUserName = Request . Form ("userName") 

End If %> 

«HTML» 


s 


s 网 络 安全 大 全 田 


<HEAD></HEAD> 

<BODY> 

«H3 align="center">Hello<%= strUserName $» </H3> 
</BODY> 

</HTML> 


当 用 户 正常 输入 文字 时 ， 一 切 都 很 正常 。 如 果 输 入 Script 代码 : 


«script» alert('hacked by jam .';«/script» 


JavaScript 警告 对 话 框 就 会 弹出 来 :在 下 一 次 访问 时 ， 这 个 警示 对 话 框 同样 会 出 现 。 这 
是 因为 这 个 Script 代码 在 第 一 次 访问 的 时 候 就 已 经 留 在 cookies 中 了 。 


1.3.3 攻击 分 类 


在 进行 安全 策略 指定 的 时 候 ， 除 了 对 自身 服务 器 进行 威胁 评估 外 ， 还 应 该 对 各 种 攻击 
类 型 进行 安全 评估 ， 并 对 威胁 较 大 的 攻击 类 型 进行 特别 的 处 理 。Cisco 安全 架构 师 Sean 
Convery 在 《Network Security Architectures》 中 提 到 了 如 下 分 类 方式 。 
读 取 攻 击 : 在 未 授权 的 情况 下 查看 信息 。 
操作 攻击 : 修改 信息 。 
欺骗 攻击 : 提供 虚假 信息 或 虚假 服务 。 
泛 洪 攻击 : 使 计算 机 资源 发 生 涪 出 。 
重 定向 攻击 : 更改 后 续 信息 。 
混合 型 攻击 ， 如 上 多 种 攻击 的 结合 。 
1. 读 取 攻击 
通常 读 取 攻 击 主要 来 自 侦查 和 扫描 ， 并 将 结果 用 于 后 续 的 拒绝 服务 攻击 。 首 先 对 于 一 
个 黑客 而 言 ， 他 需要 寻找 其 猎物 拥有 的 是 哪些 地 址 段 ， 并 且 在 这 些 地 址 段 中 ， 哪 些 是 Web 
服务 器 ， 哪 些 是 数据 库 服务 器 ， 哪 些 是 DNS 服务 器 等 。 
通常 收集 到 这 些 数据 是 相当 容易 的 。 通过 whois 可 以 查询 到 相应 的 地 址 空间 , 如 图 1-5 所 示 。 
同时 ， 还 可 以 通过 nslookup 来 查询 一 些 特定 的 服务 器 ， 如 图 1-6 所 示 。 


929992929 


1-5 通过 whois 查询 地 址 段 
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图 1-6 通过 nslookup 查询 服务 器 


当然 ， 有 些 时 候 通 过 访问 Google 或 者 其 他 方式 能 够 获取 更 加 详尽 的 地 址 段 ， 如 图 1-7 


所 示 。 


题 :上海 交通 十 学校 forP 地 过 范围 (基地 ) 
t5: BOKMA (ro2orHosHzi:19:25 EME), APIA 
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图 1-7 通过 校内 BBS 获取 所 有 地 址 段 
在 确认 这 些 信息 后 ， 对 关键 服务 器 进行 扫描 ， 并 确定 某 些 地 址 段 中 有 多 少 主机 用 于 服 


扫描 一 般 采 用 nmap (www.inseure.org/nmap)。 
首选 通过 nmap 来 扫描 某 个 地 址 段 中 活跃 的 主机 情况 : 


[root@sjtucs ~]# nmap -sP 10.78.7.0/24 
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2007-05-03 11:37 CST 
Host 10.78.7.0 seems to be a subnet broadcast address (returned 12 extra pings). 
Host 10.78.7.4 appears to be up. 
MAC Address: 00:04:61:68:6B:A9 (Epox Computer Co.) 
Host 10.78.7.8 appears to be up. 
MAC Address: 00:0E:A6:A7:EC:75 (Asustek Computer) 
Host 10.78.7.12 appears to be up. 
MAC Address: 00:1A:92:CC:8D:21 (Unknown) 
Host 10.78.7.13 appears to be up. 
MAC Address: 00:50:8D:5D:50:8D (Abit Computer) 
Host 10.78.7.23 appears to be up. 
MAC Address: 00:0A:EB:C6:5F:65 (Shenzhen Tp-link Technology Co;) 
Host 10.78.7.42 appears to be up. 
«-- 2 省 略 - 
MAC Address: 00:16:B6:C5:6E:2A (Unknown) 
Host 10.78.7.150 appears to be up. 
Host 10.78.7.188 appears to be up. 
MAC Address: 00:90:8F:05:95:50 (Audio Codes) 


。13 。 


a 网 络 安全 大 全 四 


Host 10.78.7.189 appears to be up. 

MAC Address: 00:90:8F:05:95:4E (Audio Codes) 

Host 10.78.7.254 appears to be up. 

MAC Address: 00:01:30:18:4E:30 (Extreme Networks) 

Host 10.78.7.255 seems to be a subnet broadcast address (returned 13 extra 
pings). 

Nmap run completed -- 256 IP addresses (35 hosts up) scanned in 4.707 seconds 
[rootGsjtucs ~]# 


然后 通过 nmap 来 扫描 已 经 打开 的 端口 和 系统 类 型 。 


[root@sjtucs ~]# nmap -O 10.78.7.139 

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2007-05-03 11:45 CST 
Warning: OS detection will be MUCH less reliable because we did not find at 
least 1 open and 1 closed TCP port 

Insufficient responses for TCP sequencing (0), OSdetectionmaybelessaccurate 
Interesting ports on 10.78.7.139: 

(The 1658 ports scanned but not shown below are in state: filtered) 

PORT STATE SERVICE 

1723/tcp open pptp 

3389/tcp open ms-term-serv 

MAC Address: 00:E0:4C:83:A3:7B (Realtek Semiconductor) 

Device type: firewall|general purpose 

Running (JUST GUESSING) : Symantec Windows NT/2K/XP (90$). IBM AIX 4.X|3.X 
(88$) 

Aggressive OS guesses: Symantec Enterprise Firewall 7.0 running on Windows 
2000 SP2 (90$), IBM AIX 4.3.2.0-4.3.3.0 on an IBM RS/* (88$), IBM AIX v4.2 
(87$), IBM AIX 4.2-4.3.3 (87$), IBM AIX v3.2.5 - 4 (87$) 

No exact OS matches for host (test conditions non-ideal). 


Nmap run completed -- 1 IP address (1 host up) scanned in 34.183 seconds 
[rootGsjtucs ~]# 
， 以 上 这 些 主机 ，90% 为 Windows 平台 ， 同 时 还 打开 了 3389 个 远程 桌面 的 端口 ， 
为 下 一 步 入 侵 提供 了 非常 重要 的 信息 。 


在 侦 听 方面 使 用 Wireshark 网 络 协议 分 析 仪 ， 图 1-8 所 示 为 Wireshark 监听 界面 。 
(E (Untitled) - Wireshark | 


Elle Edit view Go Capture Analyze Statistics Help 
B à 8 e à cJx*2o839o»*»91723 Ba: 


Eilter- Expression... | Clear | Apply. 


we [Time [source [Destination [rotocos [nro 
168 1.720327. Cisco.c CDP/VTP/DTP/PAGP/U CDP — Device ID: Jd-mh Port ID: 


1-8 Wireshark 监听 


2. 操作 攻击 

操作 攻击 以 修改 数据 为 目的 ， 前 文中 的 SQL 注入 和 跨 站 脚本 便 属于 这 类 攻击 。 当 然 还 
早期 使 用 CGI 的 网 站 ,可 以 直接 通过 对 URL 进行 注入 , 使 得 被 攻击 服务 器 主动 发 起 
客 计 算 机 的 链接 。 默 认 的 防火 墙 规则 对 外 部 流入 限制 严格 ， 但 对 内 部 流出 不 做 过 多 的 


有 一 
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限制 ， 因 此 这 种 链接 一 般 防 火 墙 无 法 察觉 。 
缓冲 区 溢出 也 是 非常 常见 的 攻击 方式 。 例 如 某 程序 员 认 为 ， 


会 超过 10 个 字 节 ， 而 当 恶 意 攻 
出 ， 从 而 使 得 其 些 代 码 被 执行 。 


3. 欺骗 攻击 
TERES C 
式 为 STP 欺骗 、VTP 
HEX T ILAN, 
域 ， 它 指明 了 证 书 链 
书 。 然 而 , Windows 构 


CertVerifyCertificateChainPolicy() 和 WinVerityTrust) 并 没有 检查 此 基本 约束 域 。 
有 一 个 有 效 的 


j 
这 个 订 


多 身 从 


14s FL 


E 书 尽管 是 


假 的 


时 假装 它 是 另 一 个 网 
发 送 据 称 属于 “其 他 用 户 ” 的 数字 证 书签 名 的 电子 邮件 欺骗 那些 基于 证 书 验证 


以 便 作为 一 个 高 级 民 


上 给 不 良 制 品 进行 数字 签名 。 
* 重 的 攻击 为 基于 OSI 模型 第 二 层 的 STP、VTP 以 及 MAC 地 址 攻击 等 ， 我 们 将 


更 加 严 
在 稍 后 的 章节 中 专 
4. 泛 洪 攻击 


泛 洪 攻 击 较 多 使 用 在 DDoS 攻击 上 ， 
瘫痪 。 当 然 在 泛 洪 攻 击 上 还 有 其 他 的 攻击 手法 。 
N 是 泛 洪 攻 了 


TCP SY 
SYN-ACK 进行 确认 
最 终 被 确认 的 1 


后 中 除了 前 文 介绍 


欺骗 的 攻击 行为 。 在 FAQ 中 对 这 些 进行 了 详细 的 讨论 ， 包 括 : 


户 合理 的 输入 数据 流 不 


者 用 1000 个 字 节 的 信息 进行 攻击 时 ， 就 会 导致 缓冲 区 洪 


的 钓鱼 攻击 外 ， 还 有 其 他 很 多 欺骗 方式 。 现 在 最 常见 的 方 
JO. ARP 欺骗 等 ,特别 是 身份 欺骗 ,例如 X.509 证 书 标准 的 IETF He 
| 选 的 域 ， 这 几 个 域 可 被 包含 在 一 个 数字 证 书 中 ， 其 中 一 个 为 基本 约束 
的 最 大 允许 长 度 ， 以 及 此 证 书 是 一 个 证 书 颁发 机 构 还 是 一 个 终端 实体 证 
建 和 验证 证 书 链 的 CryptoAPI 中 的 API( 包 括 CertGetCertificateChain()、 


终端 实体 证 书 的 攻击 者 ， 可 以 利用 这 个 薄弱 环节 发 布 一 个 从 
， 也 可 以 通过 验证 。 由 于 CryptoAPI 被 用 于 各 种 应 用 程序 ， 
建立 一 个 
一 个 合法 


属 证 书 ， 
将 导致 许 
站， 同 
的 网 站 ; 
内 系统 ， 
的 公司 的 验证 码 证 


站 ， 然 后 通过 建立 一 个 SSL 会 话 “ 证 实 ” 


它 自己 是 


户 得 到 入 口 ， 使 用 一 个 据 称 已 颁发 给 用 户 可 以 信任 


介绍 这 类 攻击 行为 。 


目的 是 让 对 端 服务 器 无 法 承受 巨大 的 流量 攻击 而 


的 最 早 形式 , 由 于 TCP SYN 数据 包 发 出 后 , 不 再 对 响应 端 送 回 的 
， 但 是 收 到 TCP SYN 后 服务 器 将 一 直 保 持 连接 开放 状态 , 在 SYN-ACK 


青 况 下， 对 持续 时 间 进 行 确认 ， 服 务 器 还 会 定期 重 发 SYN-ACK， 在 连接 拆除 


之 前 最 多 重 试 4 次。 这 样 ， 当 发 送 大 量 的 TCP SYN 报 文 到 服务 器 后 ， 服 务 器 将 疲 于 应 付 而 
Jii. 
Smurf 攻击 原理 很 简单 ， 它 利用 一 些 较 小 的 数据 包 攻 击 一 些 机 器 ， 然 后 使 它们 产生 较 大 


的 数据 包 ， 通 过 这 样 的 放大 行为 ， 产 生 大 量 的 流量 ， 使 得 最 终 被 攻击 的 主机 处 了 


这 样 的 攻击 方式 又 所 


FEES. 
f。 例 如 一 个 假冒 的 广播 Ping 到 达 回 环 网 络 后 ， 该 网 络 


以 称 为 增幅 攻 训 


的 每 台 主 机 都 向 受害 者 发 送 不 同 的 Ping 包 ， 如 图 1-9 所 示 。 
当 假 冒 的 Ping 包 流量 大 小 为 500Kbps 时 ， 如 果 局 域 网 内 有 200 £13 
上 升 为 100Mbps， 这 样 大 的 流量 将 很 快 导致 一 台 服 务 器 处 于 瘫痪 状态 。 
交换 机 进行 配置 ， 并 通过 一 些 QoS 的 流 控 策略 来 避免 这 样 的 攻击 。 
前 文 已 经 对 DDoS 攻击 做 了 介绍 ，DDoS 也 是 通过 前 期 入 侵 一 系列 


机 ， 则 攻击 流量 将 


服务 器 (特别 是 寄 放 
在 ISP IDC 的 服务 器 )， 一 般 来 说 这 些 服务 器 拥有 较 大 的 带宽 ， 实 施 DDoS Jt 


相对 容易 ， 
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并 且 伴 随 着 一 些 增 幅 攻 击 ， 对 方 服务 器 较 容易 出 现 瘫 痪 。 特 别 是 对 DNS 的 攻击 ， 会 导致 域 


名 正常 解析 出 错 。 


ICMP Reply 
D=10787254 
S=19216802 


ICMP Reply. 
D=10.78.7.254 
S=19216803 


ICMP Reply 
D-10787.254 
519216804 
ICMP Reply 

D-10787.254 
5719216805 
ICMP Reply 
D=10.787.254 
S-19216806 Z5 


MAC 泛 洪 攻击 则 是 另 一 种 非常 巧妙 的 形式 ， 每 个 交换 机 中 都 有 一 个 CAM 表 ， 用 于 记 
录 端 口 和 相应 的 MAC 地 址 ， 当 这 个 表 满 了 以 后 ， 则 采用 广播 的 形式 发 送 。MAC 泛 洪 就 是 
基于 这 样 一 个 思路 ,通过 大 量 的 ARP 报 文 虚报 MAC， 导 致 交换 机 CAM 表 浇 出， 从 而 通过 
广播 监听 到 别人 的 消息 。 


5. 重 定向 


攻击 


重 定向 攻击 也 是 比较 常见 的 一 种 攻击 行为 ， ARP 病毒 就 是 这 类 攻击 。 ARP 病毒 采用 虚 


拟 ARP 报 文 ， 


让 一 个 网 段 内 所 有 的 主机 误 认 为 它 就 是 网 关 ， 从 而 截获 所 有 的 报 文 。 由 于 截 


获 报 文 后 ， 中 毒 主机 并 不 转发 到 真实 的 网 关 ， 这 样 就 导致 了 整个 局 域 网 内 同 网 段 主机 全 部 
断 网 。 起 初 它 用 于 “传奇 ”等 网 络 游戏 账号 截取 上 ， 它 通过 让 其 他 电脑 全 部 下 线 ， 从 而 在 
其 他 电脑 试图 再 次 连接 服务 器 时 ， 截 获 密码 。 


在 重 定向 


h， 还 有 一 种 为 STP 重 定 向 。 利 用 虚假 消息 冒充 自己 的 一 个 接口 为 STP 的 根 


桥 ， 从 而 让 交换 机 进行 STP 重 算 ， 则 可 以 将 原 有 的 上 行 接口 阻塞 ， 向 欺骗 接口 转发 所 有 的 
数据 。 类 似 的 还 有 ， 当 攻陷 一 台 防 火 墙 后 端的 机 器 时 ， 可 以 采取 传输 重 定 向 的 方法 ， 让 这 
台 被 攻陷 的 机 器 成 为 访问 内 网 的 代理 服务 器 。 在 重 定向 类 攻击 中 ， 还 有 传统 的 IP 重 定向 及 


传输 重 定 向 等 ， 


6. 混合 型 攻击 


TE d 


稍 后 的 章节 将 对 这 些 攻 击 做 详细 的 叙述 。 


上 是 威胁 最 大 的 一 种 攻击 ， 前 文 所 述 的 Rootkit 攻击 就 属于 此 类 ， 它 们 多 半 为 


木马 病毒 类 程序 带 来 的 攻击 。 同 时 蠕虫 攻击 也 渐渐 成 为 一 种 新 的 攻击 手段 。 在 Red-Code 爆 


发 24 小 时 后 ， 


上 万 台 主 机 受到 感染 。 冲击 波 等 各 种 新 型 蠕虫 病毒 也 带 来 了 巨大 的 威胁 。“ 能 


猫 烧 香 ” 病 毒 也 属于 此 类 。 


这 类 病毒 具有 非常 好 的 隐蔽 性 ， 而 较 多 的 杀毒 软件 无 法 及 时 防范 这 样 的 病毒 ， 用 户 稍 
有 疏 忽 就 会 对 整个 网 络 带 来 极 大 的 危害 。 
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1.3.4 攻击 评估 


dix Bots 


KA FIETI YET, Sean Convery 提供 了 一 个 很 好 的 评估 方案 ， 该 方案 从 四 个 


方面 定义 了 攻击 类 型 的 评估 。 
1. 检测 难度 
检测 难度 是 指 网 管 员 是 否 能 够 检测 到 这 些 攻击 的 近似 难度 。 例 如 有 些 端口 扫描 器 扫描 
频率 过 高 将 会 被 很 多 IDS 检测 到 ， 而 SQL 注入 等 则 相对 难以 察觉 
2. 攻击 难度 
攻击 难度 是 指 可 以 在 公共 场合 随意 使 用 的 攻击 相对 来 说 攻击 难度 较 低 采用 一 些 0 day 
漏洞 的 脚本 攻击 难度 也 非常 低 ， 而 像 精妙 构造 SQL 语句 则 成 为 难度 较 高 的 一 种 攻击 方式 
3. 频 度 
频 度 是 指 攻击 的 频率 。 端 口 扫 描 几乎 每 天 都 会 发 生 ， 而 SQL 注入 、ARP 欺骗 等 发 生 的 
频率 则 相对 低 得 多 。 
4. 影响 
要 评估 网 络 安全 问题 爆发 后 产生 的 影响 。DDoS 攻击 可 能 对 电子 商务 、 政 务 系统 等 带 来 
极 大 的 影响 和 经 济 损失 ， 而 对 于 国防 、 军 事 等 重要 系统 ， 它 的 影响 则 来 自 数据 的 丢失 和 机 
密 的 泄露 等 。 
通过 对 以 上 四 方面 按 5 分 制 打分 后 ， 可 以 通过 如 下 公式 计算 出 总 体 评价 : 
总 体 评 价 = 检 测 难度 + 攻击 难度 x2+ 频 度 x3+ 影 响 x4 
如 果 总 体 评价 低 于 10， 则 可 以 不 用 过 多 担心 这 类 威胁 ; 如 果 总 体 评价 高 于 35 则 需要 关 
注 这 类 攻击 ， 如 果 高 于 40， 则 属于 高 危 漏洞 ， 需 要 及 时 弥补 。Sean Convery 对 常见 攻击 作 
了 如 表 1-2 所 示 的 评价 。 
表 1-2 ”攻击 类 型 评价 表 
攻击 类 型 检测 难度 影响 总 体 评价 
缓冲 溢出 4 3 5 45 
身份 欺骗 3 5 42 
拨号 式 扫描 4 5 42 
病毒 、 里 虫 、 木 马 4 4 42 
直接 访问 5 3 39 
远程 控制 4 4 37 
刺探 、 扫 描 5 2 37 
Rootkit 2 4 36 
监听 5 3 36 
应 用 程序 泛 洪 5 2 36 
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本 章 主要 介绍 了 网 络 安全 的 一 些 基本 知识 ， 并 从 宏观 上 介绍 了 评估 和 处 理 网 络 安全 问 


题 的 一 些 方法 ， 叙 述 了 和 见 的 网 络 安全 攻击 行为 ， 演 示 了 


手段 ， 介 绍 了 网 络 安全 事件 中 的 攻击 行为 有 哪些 ， 并 且 使 读者 能 够 判断 出 吧 


危险 的 ， 哪 些 行为 是 可 以 忽视 的 。 
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- 些 简 单 的 攻击 手段 和 检测 


了 些 攻击 行为 是 


在 第 1 章 中 ， 我 们 认识 了 多 种 多 样 的 网 络 攻 击 行为 ， 并 对 各 种 威胁 进行 了 分 类 和 评估 。 
在 本 章 , 我 们 将 介绍 防范 这 些 威胁 的 一 些 方法 和 解决 方案 , 并 对 路 由 器 、 防 火 增 VPN、IPS 
等 各 种 网 络 安全 设备 的 使 用 有 一 个 初步 的 了 解 ， 然 后 在 后 续 的 章节 中 逐渐 拓展 开 来 详细 介 
绍 ， 并 将 安全 策略 、 硬 件 及 软件 等 方法 结合 起 来 ， 构 成 一 个 统一 的 防御 系统 ， 以 便 有 效 阻 
止 非法 用 户 进入 网 络 ， 减 少 网 络 的 安全 风险 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 
网 络 安全 框架 
防火 墙 
VPN 接 入 
入 侵 检 测 
常见 网 络 安全 解决 方案 
DMZ 区 域 的 放置 
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2.4 网 络 安全 框架 


2.1.1 安全 基准 测试 


我 们 需要 采用 一 个 合理 的 框架 来 设计 一 个 安全 的 网 络 ， 下 面 将 介绍 一 些 设计 安全 网 络 
的 框架 。 围 绕 着 在 第 1 章 中 定义 的 安全 策略 ， 我 们 通过 一 步 步 的 操作 来 实现 安全 网 络 的 目 
标 。 通 常 我 们 分 四 步 走 : 一 是 需要 设计 一 套 系统 ， 用 于 验证 用 户 身份 ， 二 是 需要 设计 专门 
的 VPN 网 络 用 于 移动 办 公 和 外 部 访问 的 数据 安全 ， 三 是 需要 建立 一 套 内 部 补丁 快速 升级 系 
统 ， 降 低 “0 day” 攻 击 的 威胁 ， 四 是 组 织 内 部 还 需要 设计 严格 的 管理 体制 ， 防 范 来 自 内 部 
的 入 侵 。 

完成 网 络 安全 的 建设 后 ， 并 不 是 就 一 劳 永 逸 了 。 安 全 产品 都 有 其 特有 的 安全 生命 周期 ， 
所 以 对 于 安全 产品 是 否 失 效 ， 需 要 经 常 进行 渗入 测试 。 在 渗入 测试 方面 ， 通 常 使 用 Nmap 
等 工具 。 这 里 推荐 一 个 非常 出 色 的 安全 测试 工具 Metasploit Hacker Framework， 它 现在 已 经 
成 为 网 络 安全 测试 的 一 个 基准 工具 ， 如 图 2-1 所 示 。 
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Æ 2-1 Metasploit 检测 工具 
2.12 ”安全 日 志 分 析 


除了 安全 基准 测试 外 ， 日 常 的 网 络 安全 监控 也 是 必 不 可 少 的 ， 通 常 实时 的 监控 系统 有 
IDS 入 侵 检测 系统 、 身 份 认 证 服务 器 的 日 志 及 其 他 网 络 设备 的 运行 日 志 等 。 它们 所 得 到 的 一 
系列 结果 对 于 改善 网 络 安全 状况 提供 了 重要 的 依据 。 同 时 随 着 技术 的 不 断 发 展 ，IPS 入 侵 防 
御 系 统 逐 渐 登 上 舞台 ， 对 于 网 络 的 主动 防御 提供 了 重要 的 帮助 。 对 于 不 同系 统 回报 的 安全 
日 志 也 进行 了 很 好 的 整合 ，Cisco 提供 了 安全 监控 、 分 析 和 响应 系统 (Crisco Security 
Mornitoring, Analysis and Response System，CS-MARS)， 它 可 以 有 效 并 且 直 观 地 反映 攻击 


事件 ， 如 图 2-2 所 示 。 
JA. Attacker 


Sourco: 40.40.1.23 


mr. Destination: 100.1 4.10 
/ 
E 
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NIDS blade x 
23 38: 
= —— 
1020/34 Source: 40.40.1.23 Eirewall 


Destination: 100.1410. "C 


2-2 CS-MARS 显示 的 一 个 攻击 事件 

对 于 网 络 安全 框架 而 言 ， 最 后 一 步 就 是 作出 相应 的 策略 调整 ， 在 这 一 点 上 ，CS-MARS 
也 有 独到 之 处 ， 如 图 2-3 和 图 2-4 所 示 ， 它 将 自动 生成 对 于 安全 事件 的 处 理 方 法 供 网 络 管理 
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图 2-3 CS-MARS 显示 解决 方法 1 
综 上 所 述 , 对 于 整个 安全 框架 而 言 , 它 围绕 着 安全 策略 分 为 四 步 , 其 过 程 如 图 2-5 所 示 。 
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图 2-4 CS-MARS 显示 解决 方法 2 
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2-5 ”安全 策略 及 安全 框架 
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2.2 ”网络 安 全 产品 及 解决 方案 
2.2.1 防火 墙 


我 们 已 经 熟知 防火 墙 在 网 络 中 的 作用 ， 它 就 像 一 堵 墙 一 样 将 威胁 隔离 在 墙 外 ， 从 而 保 
证 了 内 部 关键 网 络 的 安全 。 按 照 使 用 环境 可 以 分 为 个 人 防火 墙 和 企业 防火 墙 ， 按 照 架 构 又 
可 以 分 为 软件 防火 墙 和 硬件 防火 墙 。 软件 防火 墙 主要 有 微软 在 Windows XP 中 加 入 的 个 人 防 
火 墙 和 用 于 较 大 规模 网 络 的 15A2004/2006 系列 防火 墙 , 当然 还 有 Symantec 的 防火 墙 以 及 在 
Linux 中 的 Iptables 等 。 硬 件 防 火 墙 了 
天 融 信 等 公 


E 要 由 Check Point、Cisco、Nortel、Nokia、NetScreen、 
司 提供 。 图 2-6 所 示 的 是 Cisco 的 ASA 系列 防火 墙 产品 。 


图 2-6 CiscoASA 防火 墙 


在 前 面 的 章节 中 已 经 介绍 了 DMZ 区 域 ， 如 何 创 建 DMZ 区 域 ， 防 火 墙 放置 在 网 络 中 的 
什么 位 置 成 为 一 个 十 分 关键 的 问题 。 如果 DMZ 区 域 设置 不 当 , 一 方面 可 能 导致 防火 墙根 本 
无 法 有 效 地 过 波 流量 ， 另 一 方面 ， 正 常 的 VPN 远程 接 入 由 于 防火 墙 防止 不 当 而 被 阻隔 ， 将 
会 对 公司 业务 带 来 非常 大 的 影响 。 通 常 的 DMZ 区 域 分 割 采用 三 脚 方式 ， 如 图 2-7 所 示 。 


ny 


( 
4 H 2 S 。 核心 网 络 。 数据 由 和 器 
( Internet 三 一 
M / N 


—— Q- [y 内 部 办 公 网 络 


文件 服务 器 
打印 服务 器 


邮件 服务 器 


Web 服 务 器 


2-7 采用 三 角 方式 创建 DMZ 区 域 
当然 有 些 时 候 ， 还 可 以 根据 DMZ 区 域内 不 同 服务 器 的 安全 等 级 创建 多 个 DMZ， 并 且 
每 个 DMZ 具有 独特 的 安全 特性 。 另 一 种 方法 是 将 DMZ 区 域 完全 放 入 公共 网 络 ， 而 防火 增 
仅 做 内 外 网 隔离 。 例 如 在 图 2-8 中 ， 为 了 便于 外 网 访问 ， 将 Web 服务 器 放置 在 了 防火 墙 外 
部 ， 而 DNS 服务 器 、 邮 件 服务 器 等 仍然 构成 三 脚 形 式 的 DMZ 区 域 。 
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图 2-8 DMZ 区 域 放置 在 公共 网 络 和 防火 墙 之 间 

图 2-8 这 种 形式 是 一 种 错误 的 设计 方式 。 这 是 因为 ， 对 于 DMZ 区 域 1 而 言 ， 它 根本 未 
受到 任何 保护 ， 仅 能 使 用 简单 的 访问 控制 列表 来 限制 访问 。 从 这 种 设计 演化 出 了 一 种 “ 脏 
DMZ” 的 设计 方案 ， 脏 DMZ 的 设计 与 图 2-7 十 分 相似 ， 但 是 将 图 2-8 中 的 交换 机 换 成 了 一 
台 路 由 器 (如 图 2-9 所 示 )。 这 样 就 可 以 很 好 地 隔离 了 DMZ 区 域 和 内 网 之 间 的 数据 流量 ， 同 
时 前 端 路 由 器 还 可 以 分 担 部 分 流量 ， 用 于 减轻 对 防火 墙 的 攻击 速度 。 


核心 网 络 数据 用 服务 


au V 


— 
Internet 


Sw 


Æ 2-9 脏 DMZ 


JE DMZ 内 放置 的 主机 需要 将 不 必要 的 设备 全 部 关闭 并 及 时 安装 补丁 , 构成 能 够 应 对 网 
络 攻 击 的 堡 侄 主机， 同时 主机 上 开启 大 量 的 日 志 记 录 功 能 ， 捕 获 任何 攻击 企图 ， 而 且 它 还 
保证 了 壁 双 主机 被 攻破 后 也 无 法 成 为 传输 重 定向 攻击 的 代理 服务 器 。 

最 后 ， 还 有 一 种 创建 DMZ 区 域 的 方法 是 使 用 两 个 防火 墙 级 联 ， 将 外 网 、DMZ 区 域 和 
内 网 完全 隔离 ， 这 种 方法 相对 于 脏 DMZ 而 言 ， 堡 又 主机 的 安全 性 进一步 提高 ， 同 时 也 保证 
了 内 网 和 DMZ 区 域 之 间 的 隔离 访问 ， 如 图 2-10 所 示 。 但 这 种 方法 有 一 个 缺点 ， 就 是 所 有 
内 网 的 流量 必须 经 过 DMZ 区 域 ， 则 当 DMZ 区 域 有 主机 被 攻陷 后 ， 流 量 很 有 可 能 被 监听 。 
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图 2-10 防火墙 级 联 


2.2.2 VPN 接 入 


对 于 远程 移动 办 公 的 用 户 可 能 需要 VPN 的 接 入 服务 以 获得 更 安全 的 链接 ,但 是 我 们 同 
样 会 遇 到 一 个 难题 ，VPN 接 入 设备 应 该 放置 在 什么 地 方 ? VPN 类 型 如 何 选择 ? 

首先 ， 我 们 来 看 VPN 接 入 设备 放置 的 位 置 。 如 果 将 其 放置 在 防火 墙 后 的 内 部 网 络 ， 则 
防火 墙 过 严 的 规则 有 可 能 限制 了 正常 的 VPN 连接 。 所 以 ,一般 来 说 VPN 接 入 设备 放置 在 
防火 墙 外 侧 ， 如 图 2-11 所 示 。 


身份 认证 服务 器 


网 络 访问 服务 


核心 网 络 


Internet 


J 内 部 办 公 网 络 
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邮件 服务 器 


DNS 服务 器 
图 2-11 VPN 部 署 
为 了 访问 安全 ， 身 份 验证 可 以 采用 智能 卡 等 多 种 形式 进行 。 通 常情 况 下 ， 除 了 远程 访 
问 服务 设备 外 ， 还 有 专门 的 VPN 集中 器 产品 ， 它 可 以 用 来 进行 远程 办 公 室 到 本 地 办 公 室 以 
及 移动 用 户 IPSec, SSL VPN 拨 入 的 身份 验证 工作 。 图 2-12 所 示 的 是 Cisco VPN3000 集 
中 器 。 
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图 2-12 Cisco VPN3000 集中 器 
VPN 类 型 ， 一 般 移动 用 户 拨 入 采用 PPTP 协议 或 者 SSL VPN， 而 对 于 固定 的 站 点 


到 站 点 VPN, 通常 使 用 IPSec VPN. 但 随 着 MPLS 的 成 熟 , 第 二 层 VPN 逐渐 被 用 户 所 接受 。 
Cisco 在 其 PIX、ASA 防火 墙 产 品 以 及 部 分 路 由 器 平台 上 也 提供 VPN 拨 入 功能 。 


2.2.3 
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入 侵 检测 


加 络 入 侵 ， 除 了 使 用 防火 墙 进行 隔离 外 ， 对 于 关键 的 服务 器 还 需要 进行 更 多 的 防 
IDS 就 是 这 样 的 设备 ， 它 用 于 对 入 侵 进 行 监控 和 响应 。 同 样 IDS 也 有 很 多 厂商 生 
络 中 通常 需要 部 署 多 个 IDS，Cisco 在 其 路 由 器 平台 上 增添 了 IOS IDS 功能 的 同 
生产 独立 的 IDS 设备 以 及 交换 机 上 的 IDS 模块 。 图 2-13 所 示 的 是 Cisco 4200 系 
DUM 
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2-13 Cisco 4200 系列 入 侵 探 测 器 


的 IDS 系统 通过 查找 任何 异常 的 通信 发 挥 作用 。 当 检测 到 异常 的 通信 时 ， 这 种 行 
录 下 来 并 且 向 管理 员 发 出 警报 。 这 个 过 程 很 少 出 现 问 题 。 开 始 时 ， 查 找 异常 通信 
多 错误 的 报告 。 经 过 一 段 时 间 之 后 ， 管 理 员 会 对 收 到 过 多 的 错误 警报 感到 厌烦 ， 

忽略 IDS 系统 的 警报 。 
新 的 IDS 系统 比 以 前 的 系统 更 准确 一 些 。 但 是 ， 这 个 数据 库 需 要 不 断 地 更 新 以 保 
。 而 且 ， 如 果 发 生 了 攻击 并 且 在 数据 库 中 没有 相 匹配 的 特征 码 ， 这 个 攻击 可 能 就 
。 即 使 这 个 攻击 被 检测 到 了 并 且 被 证 实 是 一 种 攻击 , IDS 系统 除了 向 管理 员 发 出 警 
这 个 攻击 之 外 没有 力量 做 任何 事情 。 


Cisco 在 原 有 IDS 硬件 平台 上 开发 了 IPS 系列 入 侵 防御 系统 。IPS 位 于 防火 墙 和 网 络 的 


设备 之 间 
面 起 到 防 


。 这 样 ， 如 果 检 测 到 攻击 ，IPS 会 在 这 种 攻击 扩散 到 网 络 的 其 他 地 方 之 前 阻止 这 个 
信 。 相 比 之 下 ,IDS 只 是 存在 于 内 部 网 络 之 外 起 到 报警 作用 ， 而 不 是 在 内 部 网 络 前 
御 作 用 。 


IPS 检测 攻击 的 方法 也 与 IDS 不 同 。 目前 有 很 多 种 IPS 系统 , 它们 使 用 的 技术 都 不 相同 。 
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但 是 ， 一 般 来 说 ，IPS 系统 都 依靠 对 数据 包 的 检测 。IPS 将 检查 入 网 的 数据 包 ， 确 定数 据 包 
的 真正 用 途 ， 然 后 决定 是 否 允 许 数据 包 进 入 内 部 网 络 。 

IDS/IPS 在 网 络 中 放置 的 位 置 也 是 值得 我 们 关注 的 。 通 常 上 述 的 IDS/IPS 为 网 络 型 ， 它 
们 用 于 监控 一 系列 地 址 段 的 通信 安全 ， 但 IDS、IPS 大 多 是 基于 x86 结构 的 Linux 系统 ， 检 
测 导 致 其 吞吐 量 并 不 大 。 所 以 放置 时 应 当 采 用 按 需 放置 的 原则 ， 通 常 是 放置 在 防火 墙 之 后 ， 
关键 服务 器 之 前 的 位 置 ， 如 果 放 置 在 防火 墙 之 前 ， 将 会 产生 大 量 的 攻击 信息 警报 送 到 监控 
系统 ， 而 最 终 很 多 攻击 又 被 防火 墙 拦截 。 实 际 放置 方式 如 图 2-14 所 示 。 


CSPM 控 制 器 


2-14 IPS/IDS 放置 方式 


2.24 集成 安全 设备 


有 时 候 为 了 节省 成 本 和 机 架空 间 ， 以 及 从 供电 、 散 热 等 方面 考虑 。 我 们 可 以 将 防火 墙 、 
IDS 等 设备 集成 到 路 由 器 和 交换 机 中 。 最 常见 的 是 基于 IOS. 系统 的 IDS/IP 以 及 IOS 防火 墙 。 


在 6500 系列 交换 机 上 还 有 VPN 模块 (如 图 2-15 所 示 )、 IDS 模块 (如 图 2-16 所 示 ) 及 NAM 网 
络 分 析 模 块 等 ， 极 大 地 简化 了 部 署 难度 。 

同时 ，Cisco 还 提供 了 ISR 集成 多 业务 路 由 器 ， 用 于 分 支 机 构 和 中 小 型 企业 。 通 过 功能 
的 集成 ， 在 提供 较 好 安全 性 的 同时 ， 也 降低 了 成 本 。 当 然 对 于 一 些 更 小 型 的 企业 而 言 ， 可 
能 也 没有 足够 的 经 费 投 资 到 网 络 安全 建设 上 ， 因 此 稍 后 的 章节 我 们 将 为 大 家 介绍 一 些 基于 
Linux 的 廉价 网 络 安全 方案 。 


2-15 VPN 模块 


。26 。 


第 2 章 ”网 络 安全 解决 方案 概述 加 


IL] 


图 2-16 IDS 模块 


2.2.5 DDoS 检测 和 防范 


DDoS(Distributed Denial of Service， 分 布 式 拒绝 服务 ) 攻 击 由 于 触发 过 程 简单 ， 同 时 产 
生 的 影响 巨大 ， 随 着 服务 提供 商 、 企 业 和 政府 机 关 对 因特网 依赖 的 加 剧 ， 使 得 成 功 的 DDoS 
攻击 能 造成 更 加 严重 的 破坏 (经 济 和 其 他 方面 )。 最 近 ， 又 出 现 了 更 多 功能 更 为 强大 的 DDoS 
[ 具 ， 使 得 将 来 的 攻击 破坏 性 更 大 。DDoS 已 经 成 为 当今 网 络 威胁 的 主要 来 源 ， 如 何 防 止 
DDoS 攻击 成 为 我 们 所 关注 的 焦点 。 而且 DDoS 攻击 以 及 出 现 集团 化 犯罪 趋势 , 根据 最 近 的 
资料 显示 ， 我 国 已 经 破获 了 一 些 DDoS 犯罪 团伙 。 

传统 的 DDoS 防治 建立 在 主机 上 , 但 是 大 量 的 DDoS 攻击 也 会 非常 容易 导致 主机 骨 溃 ， 
而 放置 IDS/IPS. 的 网 络 也 无 法 及 时 地 对 攻击 流量 进行 响应 。 例 如 Sina 的 UC 聊天 室 ， 流 量 
À 况 下 为 100Mbps， 而 每 天 的 攻击 流量 大 于 500Mbps。 当 一 个 运营 商 的 10G 互联 骨干 
上 ， 带 宽 有 可 能 被 瞬间 填 满 。 这 些 带 着 极 大 利益 趋势 的 攻击 行为 逐渐 演变 为 一 种 犯罪 机 制 ， 
而 产生 这 样 的 攻击 流量 在 国内 仅 需 100 元 人 民 币 就 可 以 获得 。 图 2-17 是 Symantec 提供 的 
DDoS 攻击 数据 。 
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2-17 DDoS 攻击 统计 数据 


因此 在 整个 网 络 上 ， 特 别 是 运营 商 网 络 上 进行 专门 的 DDoS 防范 非常 有 必要 。Cisco 在 
这 一 领域 带 来 了 非常 值得 借鉴 的 解决 方案 。 它 提供 了 DDoS Anomaly Guard 和 DDoS Traffic 
Anomaly Detector 两 种 设备 用 于 防止 DDoS 攻击 , 同时 在 产品 上 提供 Catalyst 6500 系列 交换 
机 和 7600 路 由 器 使 用 的 服务 模块 , 还 提供 了 基于 IBM X345. X356 服务 器 的 外 置 解决 方案 ， 
如 图 2-18 所 示 。 
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图 2-18 DDoS Guard 产品 


除 此 之 外 ， 还 可 以 通过 使 用 Arbor Networks Peakflow SP 统计 路 由 器 的 Netflow 流量 为 
Anomaly Guard 提供 检测 依据 ， 如 图 2-19 所 示 。 


2-20 DDoS Guard 部 署 


2.2.6 CSA 与 NAC 


在 整个 网 络 中 ， 关 键 服务 器 及 员工 电脑 的 病毒 防护 也 值得 我 们 关注 。 带 病毒 的 计算 机 
连 入 网 络 后 将 在 内 部 网 络 造成 病毒 泛滥 ， 这 样 带 来 的 威胁 比 外 部 威胁 更 大 。 特 别 是 文件 服 
务 器 等 带 有 病毒 后 ， 随 着 文件 的 分 发 将 会 导致 全 网 中 毒 。 

CSA(Cisco Security Agent, Cisco 安全 代理 ) 是 一 种 安全 代理 软件 ， 它 通过 一 系列 特有 的 
标准 用 于 评判 一 台 主 机 是 否 安全 。 它 可 以 很 好 地 保护 服务 器 不 受 攻 击 ， 即 便 受 到 攻击 后 也 
可 以 通过 CSA 及 时 地 将 带 毒 日 志 发 送 到 管理 服务 器 上 。 而 对 于 NAC(Network Admission 
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Control， 网 络 接 入 控制 )， 它 则 是 配合 CSA 的 一 种 网 络 接 入 控制 机 制 ， 当 员工 电脑 尚未 完成 
系统 升级 和 杀毒 软件 更 新 的 情况 下 ， 它 将 隔离 用 户 的 网 络 访问 ， 使 其 只 能 访问 到 病毒 更 新 
服务 器 和 系统 更 新 服务 器 ， 当 更 新 完成 并 且 CSA 评估 为 安全 后 ， 方 能 连 上 网 络 。 图 2-21 所 
示 的 是 CSA 安全 代理 软件 的 控制 界面 。 
E 
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Æ 2-21 CSA 安全 代理 


2.2.7 网络 安 全 设备 联动 


我 们 在 网 络 中 可 能 会 部 署 很 多 安全 设备 ， 并 且 产生 大 量 的 安全 日 志 。 如 何 管理 这 些 日 
志 并 作出 全 局 上 最 快 的 、 最 佳 的 响应 也 是 我 们 需要 关注 的 问题 。 同 时 ， 所 有 网 络 安全 设备 
的 联动 使 得 网 络 安全 性 获得 极 大 的 提高 ，Cisco 在 这 方面 提供 了 检测 分 析 响 应 设备 
CS-MARS(Cisco Security Monitoring, Analysis and Response System, | Cisco 安全 监控 、 分 析 
和 响应 系统 )， 如 图 2-22 所 示 。 


2-22 CS-MARS 


CS-MARS 可 以 支持 众多 设备 的 安全 信息 收集 ， 例 如 路 由 器 、IDS、IPS、ASA 等 产品 。 
同时 ，CSA 以 及 一 些 第 三 方 的 安全 软件 也 都 可 以 加 入 CS-MARS 中 ， 并 且 CS-MARS 可 以 
对 它们 产生 的 大 量 日 志 作出 面向 整个 网 络 的 可 视 化 攻击 分 析 。 图 2-23 所 示 的 是 CS-MARS 
生成 的 网 络 拓扑 。 
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2-23 CS-MARS 生成 的 网 络 拓扑 


23 本 章 小 结 


这 一 章 我 们 介绍 了 一 些 常见 的 网 络 安全 解决 方案 ， 并 且 对 于 如 何 部 署 网 络 安全 解决 方 
简单 的 介绍 。 通 过 这 一 章 的 学 习 ， 可 以 使 我 们 懂得 如 何 建立 一 个 安全 的 网 络 系 
常见 的 攻击 行为 进行 快速 的 响应 。 


Fi, HHX 
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本 章 将 从 三 个 不 同 的 方面 讨论 网 络 设备 的 安全 问题 。 首 先 讨 论 网 络 设备 的 物理 安全 ， 
包括 供电 安全 、 环 境 安全 等 ， 接 着 讨论 各 种 网 络 设备 的 访问 权限 及 相应 的 漏洞 攻击 和 防范 
方法 等 ， 并 且 详 细 介 绍 了 一 些 网 络 见 余 协 议和 实施 方案 ， 最 后 介绍 了 一 些 访问 控制 列表 的 


使 用 方法 ， 并 用 其 来 构造 一 个 简单 的 网 络 访问 控制 方案 。 
通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 


< 


* 
他 
* 
* 


网 络 设备 物理 安全 

网 络 设备 元 余 

HSRP 等 网 络 匈 余 协 议 
网 络 设备 安全 配置 
SNMP 日 志 服 务 


3.4 网 络 设备 的 物理 安全 


应 用 实例 导航 : UT 大 学 城 网 络 设备 物理 安全 设计 


Xam SG 


UT 大 学 城 园区 网 络 最 初 采用 3 层 结构 ( 即 核心 层 、 分 发 展 和 接 入 层 ) 设 计 。 有 一 次 核心 
机 房 断 电 ， 由 于 UPS 长 期 没有 监控 ， 电 池 已 经 失效 ， 同 时 输出 功率 无 法 满足 所 有 设备 的 同 
时 启动 ， 这 次 意外 断 电导 致 大 量 的 用 户 网 络 中 断 。 对 于 这 样 一 个 网 络 结构 ， 网 络 管理 员 无 
论 做 多 少 逻 辑 层 面 上 的 安全 防范 也 永远 敌 不 过 一 个 黑客 (或 许 就 是 一 个 普通 的 人 关 掉 核心 机 


房 供电 )。 


后 期 UT 大 学 城 在 网 络 改造 的 过 程 中 考虑 到 这 些 因 素 ， 开 始 定期 对 UPS 进行 检查 ， 并 
将 UPS 监控 系统 整合 到 整个 网 络 管理 系统 中 ， 还 根据 一 些 扁平 式 网 络 设 计 ， 分 散 了 核心 网 
络 结构 ， 如 图 3-1 所 示 。 


※ 技 术 要 领 


(1) 网 络 设备 物理 安全 的 基本 概念 ; 
Q) 网 络 设备 元 余 的 配置 方法 ; 
(3) 网 络 设备 异常 的 及 时 检测 方法 。 


EE I 


图 3-1 UT 大 学 城 网 络 拓扑 


就 图 3-1 所 示 的 拓扑 图 而 言 ， 每 个 校区 都 保证 了 双 线 接 入 ， 包 括 Internet 的 出 口 也 是 双 
链 路 备份 的 ， 看 上 去 已 经 相当 的 稳定 了 。 但 是 某 日 ，B 校区 由 于 配 电 设备 改造 ， 需 停电 20 


小 时 ， 而 B 校区 机 房 UPS 仅 能 支持 4 小 时 ， 并 且 没 有 配置 发 电 设备 ， 断 电 后 另外 几 个 校区 
将 会 出 现 无 法 访问 网 络 的 状况 ， 如 图 3-2 所 示 。 


域 边界 路 由 器 
图 3-2 UT 大 学 城 故障 网 络 拓扑 

因此 ,在 设计 网 络 时 ， 元 余 链 路 备份 也 需要 进行 良好 的 设计 才能 保证 网 络 的 安全 运行 。 

在 必要 的 情况 下 ， 除 了 使 用 热 备 份 协议 外 ， 还 应 当 使 用 适当 的 冷 备 份 设 备 。 

对 于 机 房 选 址 而 言 ， 需 要 物理 位 置 足够 分 散 ， 能 够 确保 自然 灾害 对 其 影响 较 小 ， 供 电 

应 当 保持 稳定 。 在 条 件 许可 的 情况 下 ， 应 配置 双 电源 切换 和 长 时 间 UPS 保护 。 同 时 ， 要 加 
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强 机 房间 空 制 ， 对 于 一 栋 楼 而 言 ， 机 房 应 该 设置 在 相对 隔离 的 位 置 ， 这 样 就 能 防止 不 
二 人 全 与 此 同时 ， 机 房 入 口 和 布线 室 应 采用 摄像 监控 。 
同样 ,在 连接 交换 机 的 时 候 , 很 多 情况 下 都 有 两 条 链 路 进行 备份 ,例如 在 图 3-1 所 示 的 
各 个 校区 ， 很 多 用 户 喜 欢 把 两 条 上 行 链 路 连接 到 同一 个 引擎 上 ， 如 图 3-3 所 示 。 


图 3-3 ”将 两 条 上 行 链 路 连接 到 同一 个 引擎 
正确 的 做 法 是 ， 将 两 条 上 行 链 路 连接 到 不 同 的 引擎 上 ， 这 样 当 某 一 块 引擎 出 现 故障 的 
时 候 ， 交 换 机 依旧 可 以 正常 工作 ， 对 稳定 性 的 提升 也 十 分 明显 ， 如 图 3-4 所 示 。 


图 3-4 将 两 条 上 行 链 路 连接 到 不 同 的 引擎 


3.2 网 络 设备 元 余 


3.2.1 HSRP 简介 


HSRP(Hot-Standby Router Protocol) 主 要 用 于 路 由 器 热 备份 ,实现 HSRP 的 条 件 是 网 络 系 
统 中 有 多 台 路 由 器 , 它们 组 成 一 个 “ 热 备份 组 ”， 这 个 组 形成 一 个 虚拟 路 由 器 。 在任 一 时 刻 ， 
一 个 组 内 只 有 一 个 路 由 器 是 活动 的 ， 并 由 它 来 转发 数据 包 ， 如 果 活 动 路 由 器 发 生 了 故障 ， 
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将 选择 一 个 备份 路 由 器 来 替代 活动 路 由 器 ， 但 是 在 内 部 网 络 的 主机 看 来 ， 虚 拟 路 由 器 没有 
改变 。 当 一 台 路 由 器 发 生 故 障 时 ， 主 机 仍然 保持 连接 ， 不 会 受到 故障 的 影响 ， 这 样 就 较 好 


地 解决 了 路 由 器 切换 的 问题 。 
为 了 减少 网 络 的 数据 流量 ， 在 设置 活动 路 由 器 和 备份 路 由 器 之 后 ， 只 有 活动 路 由 器 和 


备份 路 上 


日 器 定时 发 送 HSRP 报 文 。 如 果 活 动 路 由 器 失效 ， 备 份 路 由 器 将 接管 成 为 活动 路 由 


器 。 如 果 备 份 路 由 器 失效 或 者 变 成 了 活动 路 由 器 ， 将 有 另外 的 路 由 器 被 选 为 备份 路 由 器 。 


在 


个 特定 的 局 域 网 中 ， 可 能 有 多 个 热 备 份 组 并 存 或 重 登 。 每 个 热 备份 组 模仿 一 个 虚 


拟 路 由 器 工作 , 它 有 一 个 Well-known-MAC 地 址 和 一 个 IP 地 址 。 该 了 了 地址 、 组 内 路 由 器 的 


TE LL 


止 、 主 机 在 同一 个 子 网 内 ， 但 是 不 能 一 样 。 当 在 一 个 局 域 网 上 有 多 个 热 备份 组 存在 


时 ， 把 了 


3.2.2 


E 机 分 布 到 不 同 的 热 备份 组 ， 可 以 使 负载 得 到 分 担 。 


HSRP 工作 原理 


HSRP 利用 一 个 优先 级 方案 来 决定 哪个 配置 了 HSRP 的 路 由 器 成 为 默认 的 主动 路 由 器 。 
如 果 一 个 路 由 器 的 优先 级 设置 得 比 所 有 其 他 路 由 器 的 优先 级 高 ， 则 该 路 由 器 成 为 主动 路 由 
器 。 路 由 器 的 默认 优先 级 是 100， 所 以 如 果 只 设置 一 个 路 由 器 的 优先 级 高 于 100， 则 该 路 由 
器 将 成 为 主动 路 由 器 。 

通过 在 设置 了 HSRP 的 路 由 器 之 间 广 播 HSRP 优先 级 ,HSRP 将 选 出 当前 的 主动 路 由 器 。 


"ute pou 


Et 设置 优先 级 的 一 段 时 间 内 主动 路 由 器 不 能 发 送 Hello 消息 时 , 优先 级 最 高 的 备用 路 


由 器 变 为 主动 路 由 器 。 路 由 器 之 间 的 包 传输 对 网 络 上 的 所 有 主机 来 说 都 是 透明 的 。 


配置 


E 


$ 
4 


H T HSRP 的 路 由 器 交换 以 下 三 种 多 点 广播 消息 。 
Hello Hello 消息 向 其 他 路 由 器 发 送 路 由 器 的 HSRP 优先 级 和 状态 信息 ，HSRP 
路 由 器 默认 为 每 3 秒 钟 发 送 一 个 Hello 消息 。 


Coup 当 一 个 备用 路 由 器 变 为 一 个 主动 路 由 器 时 发 送 一 个 Coup 消息 。 
Resign 当主 动 路 由 器 要 停机 或 者 当 有 优先 级 更 高 的 路 由 器 发 送 Hello 消息 时 ， 


主动 路 由 器 发 送 一 个 Resign 消息 。 


在 任何 时 刻 ， 配 置 了 HSRP 的 路 由 器 都 将 处 于 以 下 六 种 状态 之 一 。 


E 


4 


ES 


Initial HSRP 启动 时 的 状态 , HSRP 还 没有 运行 , 一 般 是 在 改变 配置 或 端口 刚刚 
启动 会 进入 该 状态 。 

Learn 一 一 路 由 器 已 经 得 到 了 虚拟 IP 地 址 , 但 是 它 既 不 是 活动 路 由 器 也 不 是 等 待 路 
由 器 ， 它 一 直 监 听从 活动 路 由 器 和 等 待 路 由 器 发 来 的 Hello 消息 。 


Listen 路 由 器 正在 监听 Hello 消息 。 
Speak 该 状态 下 路 由 器 定期 发 送 Hello 消息 ， 并 且 积极 参加 活动 路 由 器 或 等 待 
路 由 器 的 竞选 。 


Standby 一 一 当主 动 路 由 器 失效 时 路 由 器 准备 接 包 传输 功能 。 
Active 一 一 路 由 器 执行 包 传 输 功 能 。 


使 


HSRP 时 ， 当 末端 工作 站 使 用 的 默认 网 关 不 可 用 时 ， 可 以 继续 在 网 络 上 进行 通信 。 


在 HSRP 中 采用 了 一 套路 由 器 ， 分 为 活跃 、 备 份 、 虚 拟 、 其 他 路 由 器 等 体系 ， 在 外 部 看 来 ， 
它 是 一 台 拥 有 IP 和 MAC 地 址 的 目标 路 由 器 。 
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活跃 路 由 器 的 功能 是 负责 转发 发 送 到 虚拟 路 由 器 的 数据 ， 它 通过 发 送 Hello 消息 (基于 
UDP 广播 ) 来 通告 它 的 活跃 状态 组 中 会 有 另外 一 台 路 由 器 作为 备份 路 由 器 。 备 份 路 由 器 的 功 
能 是 监视 HSRP 组 中 的 运行 状态 ， 并 且 在 当前 活跃 路 由 器 不 可 用 时 ， 迅 速 承 担 数据 转发 的 
任务 。 备 份 路 由 器 也 发 送 Hello 消息 向 组 中 其 他 的 路 由 器 通告 其 备份 路 由 器 的 角色 。 
虚拟 路 由 器 的 功能 是 向 最 终 用 户 代表 一 台 能 持续 工作 的 路 由 器 设备 。 虚 拟 路 由 器 有 自 
己 的 MAC 和 IP 地 址 ， 但 是 实际 上 它 不 转发 数据 包 ， 仅 仅 是 代表 一 台 可 用 的 路 由 设备 。 若 
网 络 中 还 有 其 他 路 由 器 ， 它 们 也 能 监听 到 Hello 消息 ， 但 是 不 作 应 答 ， 这 样 它们 就 不 会 在 备 
份 组 有 身份 的 概念 ， 同 时 它 也 不 参与 发 送 到 虚拟 路 由 器 的 数据 包 ， 但 是 还 是 转发 其 他 路 由 
器 发 来 的 数据 包 。 
下 面 所 列 的 是 活跃 路 由 器 选择 的 方法 。 
€ 在 HSRP 中 ， 有 最 高 备份 优先 级 的 路 由 器 将 成 为 活跃 /备份 路 由 器 ， 默 认 的 优先 级 
是 100， 优 先 级 范围 是 0 一 255。 
当 优先 级 相同 的 情况 下 ， 具 有 最 高 IP 地 址 的 路 由 器 将 成 为 活跃 路 由 器 。 
默认 MAC 地 址 最 小 的 成 为 活跃 路 由 器 。 


$$ 


3.2.3 配置 HSRP 


下 面 简要 介绍 HSRP 的 基本 配置 。 
配置 一 个 路 由 器 接口 (物理 接口 或 虚拟 接口 )， 让 其 参与 HSRP 备份 组 。 


Router (config -if)#standby group-number ip virtual-ip-address 


例如 ， Interface vlaniO 
ip address 172.16.10.88 255.255.255.0 
no ip redirects (关闭 ICMP 重 定向 ) 


Standby 47 ip 172.16.10.11 


© 配置 该 接口 的 HSRP 备份 优先 级 。 


Router (config -if) Standby group-number priority priority-number 


© 配置 该 接口 的 HSRP 组 中 的 备份 优先 权 。 


Router (config -if) standby group-number preempt 


© 配置 HSRP 接口 跟踪 。 在 某 些 情况 下 ， 端 口 的 状态 直接 影响 着 路 由 器 的 身份 ， 即 哪 台 路 由 
器 要 变 成 活跃 路 由 器 ， 尤 其 是 在 每 台 路 由 器 有 到 某 个 目的 地 的 不 同 路 径 时 。 这 是 因为 ， 当 
一 个 路 由 器 的 端口 启用 HSRP 后 ， 该 端口 将 关闭 ICMP 重 定向 功能 ， 因 此 ， 当 有 链 路 发 生 
错误 时 ， 活 跃 路 由 器 将 不 会 对 数据 包 进 行 重 定向 ， 导 致 数据 包 的 人 为 不 可 到 达 。 通 过 启用 
接口 跟踪 ， 可 以 根据 接口 的 状态 自动 调整 路 由 器 的 优先 级 ， 当 被 跟踪 的 端口 变 成 不 可 用 时 ， 
将 自动 降低 其 路 由 器 的 优先 级 ， 这 样 就 降低 了 它 继续 成 为 活跃 路 由 器 的 可 能 性 。 接 口 配置 
的 模式 下 可 作 以 下 的 配置 。 
Router (config-if)# standby group-number track type number interface-priority 
其 中 ， 
type: 跟踪 的 接口 的 类 型 ， 与 接口 号 一 起 使 用 如 s0。 
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number: 被 跟踪 的 接口 的 号 ， 与 接口 类 型 一 起 使 用 。 


图 3- 


热 备 


interface-priority: 路 由 器 要 被 降低 的 优先 级 的 值 ， 默 认为 10。 
例如 ，UTJS 大 学 的 校园 网 边界 路 由 器 采用 HSRP 元 余 的 配置 ， 其 网 络 拓扑 结构 图 如 
5 所 示 。 


10.0.0101 


Weg UTJS 大 学 核心 
路 由 器 B 网 络 


图 3-5 UTJS 大 学 边界 路 由 器 的 HSRP 元 余 配 置 
在 设计 时 ， 要 求 主 要 使 用 路 由 器 A， 而 将 路 由 器 B 作为 备份 路 由 器 ， 配 置 时 可 以 使 用 


份 组 优先 级 的 方法 。 实 际 配 置 方式 如 下 。 
路 由 器 A: 路 由 器 B: 
interface Gi1/1 interface Gi1/1 
ip address 10.0.0.100 ip address 10.0.0.101 
no ip redirects no ip redirects 
stanby 1 ip 10.0.0.1 stanby 1 ip 10.0.0.1 
stanby priority 105 stanby priority 100 


3.24 HSRP 安全 


UDP 
和 拒 
为 大 


对 于 HSRP， 最 大 的 问题 是 没有 提供 安全 防护 ， 在 一 个 局 域 网 内 部 ， 通 过 发 送 虚 假 的 
多 播 数据 包 很 容易 对 局 域 网 中 的 路 由 器 实施 攻击 ， 导 致 数据 包 黑 洞 (Packet Black Hole) 
绝 服务 攻击 (Denial-ofService Attack)。 一 般 是 无 法 从 一 个 局 域 网 的 外 部 实施 攻击 的 ， 因 
多 数 路 由 器 都 不 转发 目的 地 址 为 所 有 路 由 器 的 多 播 地 址 (224.0.0.2)。 
一 般 可 以 采用 配置 简单 的 认证 和 MAC 绑 定 来 增强 HSRP 的 安全 .下面 分 别 介绍 这 两 种 


方法 。 


安全 


1. HSRP 的 认证 功能 

配置 HSRP 的 认证 功能 的 命令 是 : 

Router (config-if)# standby group number authentication string 
2. 静态 MAC 


通过 给 “ 热 备 份 组 ”分 配 一 个 MAC 地 热 ， 并 与 IP 地 址 进行 绑 定 ， 从 而 提高 HSRP 的 
， 方 法 是 : 
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但 是 MAC 地 址 可 以 更 改 ， 而 认证 消息 本 身 就 是 明文 ,非常 容易 捕获 。 此 时 可 以 使 


种 更 安全 的 热 备 份 协议 VRRP。 


3.2.5 VRRP 


Router (Config-if)# standby group number mac-address H.H.H.H 


虚拟 路 由 器 元 余 协 议 (Virtual Router Redundancy Protocol，VRRP) 可 以 把 一 台 虚 拟 路 由 
器 的 责任 动态 分 配 到 局 域 网 上 的 VRRP 路 由 器 中 的 一 台 。 控 制 虚拟 路 由 器 IP 地 址 的 


VRRP 路 由 器 称 为 
日, 这 种 选择 过 
终端 主机 的 默认 网 关 。 


z 


AC 地 址 ， 因 此 对 于 终端 使 用 者 系统 是 透明 的 。 


也 址 ， 减 少 了 切换 对 终端 设备 的 影响 。 


VRRP 控制 报 文 只 有 一 种 : VRRP 通告 。 它 使 用 IP 多 播 数据 包 进行 封装 ， 组 地 由 
224.0.0.18， 发 布 范 围 只 限于 同一 局 域 网 内 。 这 保证 了 VRID 在 不 同 网 络 中 可 以 重复 使 用 。 


在 VRRP 中 ， 有 两 组 重要 的 概念 ， VRRP 路 由 器 与 虚拟 路 由 器 ， 主 控 路 
Hd. VRRP 路 由 器 是 指 运行 VRRP 的 路 由 器 ， 是 物理 实体 ， 虚 拟 路 由 器 是 指 根据 VRRP 
创建 的 路 由 器 ， 是 逻辑 概念 。 一 组 VRRP 路 由 器 协同 工作 ， 共 同 构 成 一 台 虚 拟 路 由 器 。 该 
是 拟 路 由 器 对 外 表现 为 一 个 具有 唯一 固定 IP 地 址 和 MAC 地 址 的 逻辑 路 由 器 。 处 于 同一 个 
VRRP 组 中 的 路 由 器 具有 两 种 互 斥 的 角色 : 主 控 路 由 器 和 备份 路 由 器 。 一 个 VRRP 组 中 有 
且 只 有 一 台 处 于 主 控 角 色 的 路 由 器 ， 可 以 有 一 个 或 者 多 个 处 于 备份 角色 的 路 由 器 。VRRP 
使 用 选择 策略 从 路 由 器 组 中 选 出 一 台 作 为 主 控 , 负责 ARP 响应 和 转发 IP 数据 包 , 组 中 的 其 
他 路 由 器 作为 备份 的 角色 处 于 待命 状态 。 当 由 于 某 种 原因 主 控 路 由 器 发 生 故 障 时 ， 备 份 路 
器 能 在 几 秒 钟 的 时 延 后 升级 为 主 控 路 由 器 。 由 于 此 切换 非常 迅速 而 且 不 用 改变 IP 地 址 和 


路 由 器 ， 它 负责 转发 数据 包 到 这 些 虚拟 IP 地 址 。 一 旦 主 路 由 器 不 
提供 了 动态 的 故障 转移 机 制 , 这 就 允许 虚拟 路 由 器 的 IP H 


可 


也 址 可 以 作为 


1 器 与 备份 路 


一 个 VRRP 路 由 器 具有 唯一 的 标识 : VRID， 范 围 为 0 一 255。 该 路 由 器 对 外 表现 为 唯一 
虚拟 MAC 地 址 ， 地 址 的 格式 为 00-00-5E-00-01-[VRID]。 主 控 路 由 器 负责 对 ARP 请 求 用 
该 MAC 地 址 作 应 答 。 这 样 ,无论 如 何 切 换 , 保证 给 终端 设备 的 是 唯一 一 致 的 卫 地 址 和 MAC 


-为 


为 了 减少 网 络 带宽 消耗 ， 只 有 主 控 路 由 器 才 可 以 周期 性 地 发 送 VRRP 通告 报 文 。 备 份 路 由 
器 在 连续 三 个 通告 间隔 内 收 不 到 VRRP 或 收 到 优先 级 为 0 的 通告 后 启动 新 的 一 轮 VRRP 


在 VRRP 路 由 器 组 中 , 按 优先 级 选举 主 控 路 由 器 , VRRP 优先 级 范围 是 0~255. 4f VRRP 
路 由 器 的 IP 地 址 和 虚拟 路 由 器 的 接口 IP 地 址 相同 ， 则 称 该 虚拟 路 由 器 是 VRRP 组 中 的 IP 


地 址 所 有 者 。IP 地 址 所 有 者 自动 具有 最 高 优先 级 2355， 优 先 级 0 一 般 用 在 IP 地 址 所 有 者 主 
动 放弃 主 控 路 由 器 角色 时 使 用 , 用 户 可 配置 的 优先 级 范围 为 1~254。 优先 级 的 配置 原则 可 以 
依据 链 路 的 速度 和 成 本 、 路 由 器 性 能 和 可 靠 性 以 及 其 他 管理 策略 等 。 主 控 路 由 器 的 选举 中 ， 
高 优先 级 的 虚拟 路 由 器 获胜 ， 因 此 ， 如 果 在 VRRP 组 中 有 IP 地 址 所 有 者 ， 则 它 总 是 作为 主 


El 


控 路 由 器 的 角色 出 现 。 对 于 相同 优先 级 的 候选 路 由 器 ， 按 照 IP 地 址 大 小 顺序 选举 。VRRP 
还 提供 了 优先 级 抢占 策略 ， 如 果 配 置 了 该 策略 ， 高 优先 级 的 备份 路 由 器 便 会 剥夺 当前 低 优 


先 级 的 主 控 路 由 器 而 成 为 新 的 主 控 路 由 器 。 
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为 了 保证 VRRP 的 安全 性 ， 提 供 了 两 种 安全 认证 措施 : 明文 认证 和 IP 头 认 证 。 明 文 认 


证 方式 要 求 在 加 入 一 个 VRRP 路 由 器 组 时 ， 必 须 同 时 提供 相同 的 VRID 和 明文 密码 。 这 种 
背 施 可 以 避免 在 局 域 网 内 的 配置 错误 ， 但 不 能 防止 通过 网 络 监听 方式 获得 密码 。IP 头 认 证 
的 方式 提供 了 更 高 的 安全 性 ， 能 够 防止 报 文 重 放 和 修改 等 攻击 。 


的 


对 于 图 3-5 所 示 的 UTJS 核心 网 络 拓扑 ， 采 用 VRRP 配置 的 方式 如 下 。 
路 由 器 A: 


interface Gi1/1 

ip address 10.0.0.100 

no ip redirects 

vrrp 1 ip 10.0.0.1 

vrrp 1 priority 100 

vrrp 1 authentication md5 key-string d00b4r987654321a timeout 30 


路 由 器 B: 


interface Gil/1 

ip address 10.0.0.101 

no ip redirects 

vrrp 1 ip 10.0.0.1 

vrrp 1 priority 200 

vrrp 1 authentication md5 key-string d00b4r987654321a timeout 30 


3 还 支持 Key-Chain 
员 的 要 求 自动 更 改 


这 样 就 可 以 实现 相对 安全 的 元 余 协 议 了 。 同时 , Cisco 路 由 器 对 
配置 方式 。 这 种 方式 类 似 于 一 个 密码 链 ， 可 以 在 一 定 的 时 候 按 照管 


密码 ， 从 而 可 达到 较 高 的 安全 性 。 


以 


完成 设备 热 备 份 协议 的 配置 后 ， 稍 后 的 章节 将 介绍 如 何 使 用 路 由 器 宛 余 协议 进行 备份 ， 
及 路 由 器 元 余 协议 的 安全 性 配置 等 。 


3.3 网 络 设备 访问 安全 


应 用 实例 导航 : JS 公司 远程 访问 漏洞 修复 


※ 场 景 呈现 


部 


员 


[E 


2006 4 4 H 15 H, EA AE JS 公司 到 其 分 公司 的 链 路 上 私自 措 接 了 一 台中 继 器 ， 并 使 


H Wireshark 软件 对 流 经 该 链 路 的 数据 进行 侦 听 。 某 天 当 他 查询 侦 听 结果 的 时 候 ， 发 现 了 一 


分 Telnet 报 文 ， 如 图 3-6 所 示 。 

当 他 对 数据 流 进行 TCP 复原 的 时 候 ， 让 他 “喜出望外 ”的 事情 发 生 了 ， 这 是 某 个 网 管 
远程 登录 到 一 台 路 由 器 上 进行 配置 的 Telnet 流量 。 他 试 着 抓 取 了 一 部 分 登录 的 日 志 ， 如 
3-7 所 示 。 

可 以 看 到 , 在 图 3-8 中 的 下 半 部 分 便 是 管理 员 输 入 的 , 将 其 编码 方式 调整 为 Hex Dump， 


就 可 直接 获取 密码 了 ， 即 “sjsj2611” 为 登录 密码 。 不 久 ，JS 公司 的 这 人 台 路 由 器 即 被 攻破 。 
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(Untitled) - Wireshark 


Mew Go Capture Analyze Statistics Help 
e e à oxo aBa’ FH 


addreq 192.165.1.114 and ip.addr eq 202.120.651.141) and (tcp ~ Expression.. Clear Appiy 


Time Source Destination - Protocol Info 


3.118003  202.120.61.141 192.168.1.114 TELNET Telnet 
5.124305  202.120.61.141 192:168:1.114 TELNET Telnet 
3.325264  202.120.61.141 192.168.1.114 TcP — telnet 
3.327674  202.120.61.141 192.168.1.114 TELNET Telnet 
3.529644 202.120.61.141 192.168.1.114 TcP telnet 
3.687454 202.120.61. 141 192.168.1. 114 TCP telnet 
10.361269 202.120. 61.141 192.168.1.114 TcP telnet 
10.801306 202.120.61.141 192.168. 1.114 TCP telnet 
11.129870 202.120.61.141 192.168.1.114 TcP telnet 
11.438347 202.120.61.141 192.168.1.114 TCP telnet 
11.823020 202.120.61.141 192.168.1.114 TCP telnet 
12.023308 202.120.61.141 192.168.1. 114 TCP telnet 
12.223610 202.120.61.141 192.168.1.114 TcP telnet 
12.305766 202.120.61.141 192.168.1.114 TELNET Telnet 
141224528 202.120.61.141 192:168.1.114 TELNET Telnet 
14.656864 202.120.61.141 192.168.1.114 TELNET Telnet 
14.848432 202.120.61.141 192:.168:1:114 TELNET Telnet 
15.305052 202.120.61.141 192.168.1.114 TELNET Telnet 
15.512754 202:120.61.141 192.168.1.114 TELNET Telnet 
15.657396 202.120. 61.141 192.168.1.114 TELNET Telnet 

032652 202.120. 6: 192.168.1.114 TELNET Telnet 
16.044663 202.120. 61. 192.168.1.114 TELNET Telnet 


图 3-6 某 人 捕获 的 JS 公司 的 Telnet 报 文 


B. Follow TCP Stream 


Stream Content 


ser Access verification 


lPassword: .. 


ANSI. 


ls ju 
Gave As) frin) Entire conversation (217 bytes) We ascii O 
3-7 TCP 流量 复原 
a Follow TCP Stream 
Stream Content 


5 72 69 66 69 63 61 74 69 6f 6e 0d 0a Od Oa verifica tion.... 


1 73 73 77 6f 72 64 3a 20 Password : 

0000000 ff fd 01 : 
0000003 ff fd 03 ff fb 18 ff fb lf ff fa 1f 00 50 00 19 ........ .. 
0000013 ff fO 2 


a 18 01 ff fo Were 
0000015 ff fa 18 00 41 4e 53 49 ff fO ..ANSI . 
00001F 73 
0000020 6a 
0000021 73 
0000022 6a 
0000023 32 
0000024 36 
0000025 31 


31 
0000027 Od 0a 


[Eee nuc 


(Gave As) (rin) | Entire conversation (217 bytes) B]IO asci O escorc e fie 


图 3-8 EL Hex Dump 查看 密码 信息 
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KAREM 


(1) 网 络 设备 安全 登录 的 配置 ; 

D 保存 和 查看 网 络 设备 产生 的 事件 日 志 ; 
(3) SNMP 安全 配置 ; 

(4) 关闭 网 络 设备 中 不 必要 的 网 络 服 务 。 


3.3.1 网络 设 备 的 安全 登录 


Telnet 已 经 是 Internet 上 实现 远程 登录 事实 上 的 标准 ， 网 络 管理 员 经 常 使 用 Telnet 来 远 
程 维 护 交 换 机 、 路 由 器 等 网 络 设 备 。 但 由 于 Telnet 的 所 有 消息 都 是 以 明文 进行 传递 的 ， 这 
就 给 一 些 黑客 造成 可 乘 之 机 。 为 了 保证 远程 维护 网 络 设备 时 的 安全 ， 建 议 使 用 SSP(Secure 
Shell， 安 全 外 壳 ) 作 为 远程 登录 工具 。SSH 是 一 种 在 不 安全 网 络 上 全 远程 登录 及 其 他 
安全 网 络 服务 的 协议 ， 它 在 连接 两 端 为 主机 和 客户 端 时 都 使 用 认证 密码 ， 并 且 数 据 也 经 过 
加 密 后 传输 。 
下 面 以 Cisco 路 由 器 为 例 ， 说 明 SSH 连接 及 其 安全 配置 过 程 
O ours viy 虚拟 端口 连接 类 型 由 Telnet 转换 为 SSH 
Router (config)#line vty 0 4 
Router (config-line)#transport input telnet ssh 
@@O 限制 能 够 远程 登录 的 主机 IP 地 址 ， 并 对 非法 地 址 进行 日 志 记录 。 


Router (config)#access-list 1 permit host 10.16.58.1 
Router (config) #Access-list 1 permit host 10.16.58.13 
Router (config) #Access-list 1 permit host 10.16.8.1 
Router (config) #Access-list 1 permit host 10.16.38.1 
Router (config) #Access-list 1 deny any log 

Router (config)#l Line vty 0 4 

Router (config-line)# Access-class1 in 


© 配置 较 短 的 超时 时 间 以 抵御 Telnet DDoS 攻击 、 动 持 攻击 等 。 例 如， 我 们 将 超时 时 间 设置 为 
3 分 30 秒 ， 若 在 这 段 时 间 内 没有 数据 流量 ， 则 断 开 连接 。 


Router (config)#line vty 0 4 
Router (config-line)#exec-timeout 3 30 


Q 为 viy 访问 建立 认证 . 用 户 认证 可 以 采用 本 地 认证 和 外 置 的 Radius 服务 器 认证 两 种 方式 ， 
Radius 服务 器 认证 方式 将 在 第 7 章 介 绍 ， 这 里 仅 配置 本 地 认证 。 
Aaa new-model 
Aaa authentication login ciscojam local 


Username cisco password ciscojam 
Username ciscojam secret ccie 


Line vty 0 4 
Login authentication ccie 


© Router# show run 通过 show run 命令 来 查看 运行 中 的 配置 文件 。 


hostname Router 
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username cisco password 0 ciscojam 
username ciscojam secret 5 $1$LODJ$qOYwofOdASUHnsvZzXx/g/ 


Q 上面 所 示 的 配置 中 , 有 一 个 名 为 cisco 的 账户 密码 是 以 明码 形式 存在 的 , 需要 开启 加 密 服务 ， 
加 密 配置 文件 中 的 口令 。 
Router(config)iservice password-encryption 

@ 相 看 运行 中 的 配置 文件 ， 可 以 看 到 cisco 账户 的 密码 已 经 加 密 了 。 


Rount # show run 


username cisco password 7 000A1AOBOB500AODOE 
username ciscojam secret 5 $1$LODJ$qOYwofOdA5UHnsvZzXx/g/ 


3.3.2 ”保存 网 络 设备 日 志 


上 文 配置 SSH 登录 检测 日 志 时 ， 可 以 将 非法 的 SSH 登录 记录 下 来 ， 以 便 网 络 管理 员 及 
时 发 现 网 络 攻 击 。 但 在 默认 情况 下 ， 网 络 设备 的 日 志 都 保存 在 本 机 上 ， 当 系统 重启 时 日 志 
便 会 丢失 。 更 重要 的 是 ， 这 种 方式 也 不 便 进 行 日 志 分 析 。 因 此 ， 我 们 更 希望 网 络 设 备 产 生 
的 日 志 都 能 自动 传送 到 一 台 服 务 器 上 ， 从 而 方便 日 志 的 存储 或 分 析 。 

下 面 以 Cisco 路 由 器 为 例 ， 说 明 网 络 设备 日 志 配置 过 程 。 
Q 设置 日 志 组 冲 区 大 小 ， 一 般 该 值 为 16384. 

Router (Config)#Logging buffered 16384 
© 设置 syslog 服务 器 IP 地 址 ， 以 便 网 络 设备 将 日 志 发 送 给 该 服务 器 . 

Router (config)#Logging 10.0.0.2 
Oba s» uum. 

Router (config)#Service timestamps log datetime [msec] [localtime] 


[show-timezone] 
Router (config) #Service timestamps log uptime 


O 如 果 需 要 可 将 日 志 发 送 到 终端 的 Telnet 会 话 中 ， 以 方便 网 管 查看 。 
Router (config)#Terminal Monitor 
O 配置 日 志 消息 类 型 。 通 常 日 志 消息 可 分 为 如 下 几 种 类 型 。 


Logging (console | monitor | trap | history) level 


Level 分 类 如 下 。 

0 Emergencies 系统 不 稳定 

1 Alert 需要 立即 采取 行动 
2 Critical 临界 情况 

3 Errors 错误 情况 

4 Warnings 警告 情况 
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5 Notifications 正常 但 重要 的 情况 
6 Informational 仅 信息 消息 
7 debugging 调试 消息 


如 果 要 在 本 地 查看 或 清除 日 志 消息 ， 可 以 使 用 如 下 命令 。 


Router&Show logging // 查 看 日 志 
Router#Clear logging  // 清 除 日 志 


下 面 所 示 的 是 一 个 常见 的 路 由 器 日 志 服务 配置 模板 。 


Service timestamp debug datetime localtime show-timezone 
Service timestamp log datetime localtime show-timezone 
clock timezone PST -8 

clock summer-time PDT recurring 

logging buffered 16384 

logging trap debugging 

logging facility local 7 

logging 10.0.0.1 

logging source-interface loopback 0 


配置 路 由 器 后 ， 还 需要 进一步 配置 接收 这 些 日 志 的 主机 ， 通 常 为 一 台 Syslog 主机 。Syslog 
是 一 个 运行 在 UNIX 服务 器 上 的 进程 或 者 守护 进程 ,用 于 收集 、 储 存 日 志文 件 , 日 志 消 息 从 
运行 在 UNIX 服务 器 上 的 不 同 服务 以 及 其 他 网 络 结 点 发 来 ， 发 送 消息 的 服务 指示 其 设备 类 
型 。Syslog 支持 的 设备 类 型 如 表 3-1 所 示 。 


表 3-1 Syslog 支持 的 设备 类 型 


© 


设备 类 型 服 务 
Auth 统 
Cron F 护 进程 设备 
Daemon F 护 进程 
Kern 
Local0-7 本 地 定义 的 消息 
Lpr 打印 系统 
Mail 邮件 系统 
News USENET 新 闻 
Sys9-14 系统 使 用 
Syslog 系统 日 志 
User 用 户 进程 
Uucp UNIX 到 UNIX 复制 系统 


修改 /etc/sysconfig/syslog 文件 ， 将 其 中 的 字段 “SYSLOGD_OPTIONS="-m 0"” 修 改 为 
“SYSLOGD OPTIONS-" r m 0"" 
Syslog 的 配置 文件 是 /etc/syslog.conf， 例 如 在 该 配置 文件 中 加 入 如 下 命令 。 


Local7.debugging /usr/adm/logs/cisco.log 
local7.notice /usr/adm/logs/cisco.log 


四 点 评 与 拓展 : 网 络 设备 日 志 服务 是 网 络 设备 最 基本 的 配置 ， 通 过 日 志 可 以 快速 了 


解 到 大 量 的 信息 ， 并 且 将 各 种 网 络 威胁 阻止 在 发 生 的 阶段 。 当 然 还 有 很 多 网 络 管理 软件 通 
过 使 用 SNMP 同样 可 以 获取 大 量 的 信息 。 
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3.8.8 SNMP 安全 配置 


了 底层 网 络 管理 的 框架 。SNMP 的 应 用 范围 非常 广泛 ， 诸 多 的 网 络 设备 、 软 件 和 系统 中 都 
要 是 因为 SNMP 有 如 下 几 个 特点 。 
首先 ， 相 对 于 其 他 种 类 的 网 络 管理 体系 或 管理 协议 而 言 ， SNMP 易于 实现 。SNMP 的 
管理 协议 、MIB 及 其 他 相关 的 体系 框架 能 够 在 各 种 不 同类 型 的 设备 上 运行 ， 
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SNMP(Simple Network Management Protocol， 简 单 网 络 管理 协议 ) 为 网 络 管理 系统 提供 


^ 


络 且 需要 控制 的 设备 等 ， 
是 由 于 上 述 特点 ， 


下 是 


[ 织 )， 才 可 以 
不 偿 失 ， 因 为 他 们 4 
有 悖 于 他 们 的 初衷 。 
再 次 ，SNMP 有 很 多 详细 的 文档 资料 (例如 RFC 以 及 其 他 的 一 些 文档 、 说 昌 
络 业界 对 这 个 协议 也 有 着 较 深 入 的 理解 ， 这 些 都 是 SNMP 进一步 发 展 和 
最 后 ，SNMP 可 用 于 控制 各 种 设备 。 比 如 电话 系统 、 环 境 控 制 设 备 ， 以 及 
这 些 非 传统 设备 都 可 以 使 用 SNMP。 

SNMP 已 经 被 认为 是 网 络 设备 厂商 、 应 用 软 人 


的 首选 管理 协议 。 
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题 。 主 要 原因 
中 直接 传递 团 


> Ri 


SNMP 在 版 本 1 F 


了 SNMP 的 可 用 性 。 


体 字符 


SNMP 是 一 种 无 连接 协议 ， 无 连接 是 指 它 不 支持 如 Telnet 或 FTP 这 种 专门 
请 求 报 文 和 返回 响应 的 方式 ，SNMP 在 管理 代理 设备 和 管理 工 


， 这 样 团体 字符 串 就 暴露 无 遗 了 。 正 是 
置 操作 。 但 这 样 做 有 一 个 副作用 ， 这 样 一 来 只 能 监 


包括 低档 的 个 


电脑 到 高 档 的 大 型 主机 、 服 务 器 以 及 路 由 器 、 交 换 器 等 网 络 设备 。 一 个 SNMP 管理 代理 
件 在 运行 时 不 需要 很 大 的 内 存 空间 ， 因 此 也 就 不 需要 太 强 的 计算 能 力 。SNMP 一 般 可 以 
目标 系统 中 快速 开发 出 来 ， 所 以 它 很 容易 在 新 产品 或 升级 的 老 产 品 中 出 现 。 尽 管 SNMP 
少 其 他 网 络 管理 协议 的 某 些 优点 ， 但 它 设 计 简单 、 扩 展 灵活 、 易 于 使 用 ， 这 些 特点 大 大 
4b T SNMP 应 用 中 的 不 足 之 处 。 


其 次 ，SNMP 是 开放 的 免费 产品 。 只 有 经 过 IETF 的 标准 议程 批准 (IETF 是 IAB 下 设 的 
改动 SNMP; 厂商 们 也 可 以 私下 改动 SNMP， 但 这 样 做 的 结果 很 可 能 得 
必须 说 服 其 他 厂商 和 用 户 支持 他 们 对 SNMP 的 非 标 闪 


LE 改进 ， 而 这 样 做 却 
44555), M 
改进 的 基础 。 

t+ 他 可 接 入 


:开发 者 及 终端 用 户 


ME. 
站 之 间 传 送信 息 。 


减轻 了 管理 代理 设备 的 负担 ， 它 不 必 非 得 支持 其 他 协议 及 基于 连接 模式 的 处 理 过 
，SNMP 提供 了 一 种 独 有 的 机 制 来 处 理 可 靠 性 和 故障 检测 方面 的 
， 网 络 管理 系统 通常 安装 在 一 个 比较 大 的 网 络 环境 中 ， 其 中 包括 大 量 的 不 同 种 类 
1 网 络 设备 。 因 此 ， 为 了 划分 管理 职责 ， 应 该 把 整 
(Community)， 将 满足 一 定 条 件 的 网 络 设备 归 为 同一 个 SNMP 
(Community String) 信 息 的 安全 模型 ， 可 以 通过 物理 方式 把 它 添 力 


问题。 


个 网 络 分 成 若干 个 用 户 团 体 
团体 。SNMP 支持 这 种 基于 团 
到 选 定 的 团体 内 


F 团体 字 符 串 的 身份 验证 模型 被 认为 是 很 不 牢靠 的 ， 存 在 一 个 严重 
是 SNMP 并 不 提供 加 密 功 能 ， 也 不 保证 在 SNMP 数据 包 交 换 过 程 中 
信息 。 只 需 使 用 一 个 数据 包 捕 获 工具 就 可 


巴 整个 SNMP 数 


因 


为 这 个 原因 ， 大 多 数 站 点 禁止 管理 代理 


I 版 本 2 中 由 于 使 用 团体 字符 串 ， 


控 数 据 对 象 的 值 而 不 能 改动 它 


将 会 带 来 很 多 安全 性 问题 ， 仅 在 版 


。43 。 


a 网 络 安全 大 全 a 


本 3 中 , 才 支 持 MD5/SHA 的 认证 方式 ， 对 于 消息 也 仅 有 C3 支持 DES 加 密 。 表 3-2 所 示 为 


SNMP 的 版 本 。 
表 3-2 SNMP 的 版 本 
版 本 级 别 注 释 

版 本 1 NoAuthNoPriv 团体 字符 串 S 利用 团体 字符 串 匹 配 进行 认证 

版 本 2 NoAuthNoPriv 团体 字符 串 利用 团体 字符 串 匹 配 进行 认证 

版 本 3 NoAuthNoPriv 用 户 名 利用 用 户 名 匹配 进行 认证 

版 本 3 AuthNoPriv MDS/SHA P 

版 本 3 AuthPriv MDS/SHA * HMAC-MDS 或 者 HMAC-SHA 
认证 算法 。 除 提供 CBC-DES(DES-56) 标 
准 进行 认证 外 还 提供 DES-56 位 的 报 文 
加 密 


下 面 简要 介绍 在 Cisco ISO 路 由 器 或 交换 机 中 开启 SNMP 服务 的 配置 方法 , 其 他 厂家 生 


产 的 网 络 设备 的 配置 方法 与 之 类 似 。 
o 进入 特权 配置 模式 ， 使 用 snmp-server community 命令 创建 只 读 和 可 读 写 团体 字符 串 。 


o © © 0 


Router#config terminial 
Router (config) #snmp-server community < 只 该 团体 字 
Router (config)#snmp-server community < 可 读 写 团体 : 


配置 SNMP 引擎 ， 这 是 一 个 可 选 配置 。 


Router (config)#snmp-server engineID [local engineid-string] | [remote 
ip-address udp-port port engineid-string] 


配置 Trap 服务 类 型 。 


Router (config)#snmp-server host host-addr [traps | informs] [version (1 | 
2c | 3 [auth | noauth | priv]}] // 其 中 auth 为 SHA 和 MD5， priv 为 DES 
Router (config)#community-string [udp-port port] [notification-type] 


配置 Trap 消息 类 型 。 

Router (config)#snmp-server enable traps [notification-type] [notification-option] 
如 果 要 使 用 SNMP 消息 reload 路 由 器 ， 则 需要 输入 如 下 命令 。 

Router (config)#snmp-server system-shutdown 

如 果 要 使 用 TFTP 服务 器 来 存 取 配置 文件 ， 可 以 用 访问 控制 列表 限制 TFTP 的 访问 。 
Router (config)#snmp-server tftp-server-list acl-number 

下 面 是 一 个 配置 实例 ， 要 求 172.16.1.200 和 201 以 只 读 方式 接收 bgp 陷阱 消息 。 


snmp-server community access RO 
snmp-server enable traps bgp 
snmp-server host 172.16.1.200 access 
snmp-server host 172.16.1.201 access 
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O 可 以 通过 下 面 的 方法 来 验证 配置 。 


Router&clear ip bgp * 
SNMP: Queuing packet to 172.16.1.200 
ent bgp, addr 10.1.2.25 


SNMP: V1 Trap, 
bgpPeerEntry.1 


bgpPeerEntry.2. 


4.10.21.2.1 


- 00 00 


10.1.2.1 = 1 


SNMP: Queuing packet to 172.16.1.201 
ent bgp, addr 10.1.2.25 


SNMP: V1 Trap, 
bgpPeerEntry.1 


bgpPeerEntry.2. 


4.10.1.2.1 


- 00 00 


10.1.2.1- 1 


SNMP: Packet sent via UDP to 172.16.1.200 
SNMP: Packet sent via UDP to 172.16.1.201 


四 点 评 与 拓展 : SNMP 是 最 常用 的 网 络 管理 协议 ， 它 能 系统 详细 地 读 取 设备 的 数据 


库 ， 并 获取 设备 的 工作 状态 ， 


例如 接口 流量 等 。 通 常 这 样 的 数据 库 称 作 MIB 数据 库 。MIB 


数据 库 为 一 种 树 形 结构 ， 各 值 所 代表 的 不 同意 义 可 以 在 设备 厂商 所 提供 的 资料 中 查询 ， 用 
于 完成 一 些 自 定 义 的 检测 和 响应 任务 。 


3.84 ”禁用 不 必 


在 很 多 路 由 器 中 者 
路 由 器 为 例 ， 管 理 员 可 


要 的 服务 


启用 了 很 多 


开启 CDP 协议 ， 可 以 查找 其 他 邻 后 
能 ， 等 等 。 为 了 保证 路 由 器 和 交换 机 的 安全 ， 可 以 将 这 些 服务 关闭 。 


信 关闭 Finger J 
问 。 如 果 不 需 


Router (conf 
Router (conf 


(v. Finger 
要 该 功能 ， 


仿 “ 关 闭 HTTP 有 


kI- HTTP 


该 功能 ， 可 L 


使 用 如 下 命 


网 络 服务 以 支持 第 二 、 三 、 四、 七 层 的 网 络 协议 。 以 Cisco 


以 开启 BOOTP 协议 ， 使 得 其 他 路 由 器 能 够 在 及 | 动 时 进行 IOS 复制 ; 


号 的 Cisco 设备 ， 开 启 NTP 服务 ， 以 提供 网 络 时 间 同 步 功 


服务 用 于 UNIX 用 户 查 找 服务 (lookup)， 人 允许 用 户 远程 访 
可 以 使 用 如 下 命令 来 关闭 Finger 服务 。 


ig)#no ip finger 
ig)#no service finger 


服务 用 于 支持 一 些 Cisco 设备 的 Web 配置 ， 如 果 不 需 要 
令 来 关闭 HTTP 服务 。 


Router (config)#no ip http server 


信 ”关闭 BOOTP 服务 。BOOTP 服务 用 于 某 些 Cisco 路 由 器 使 用 BOOTP 协议 通过 网 
络 来 获取 IOS， 然 后 启动 。 如 果 Cisco 路 由 器 直接 从 Flash 中 获取 IOS， 可 以 将 该 


服务 关闭 。 


Router (config)#no ip boot server 

信 ”关闭 CDP 服务 。CDP 服务 用 于 发 现 与 之 直接 相连 的 Cisco 邻居 设备 ， 以 便 排除 网 
络 故障 。 如 果 不 需要 该 服务 ， 可 以 将 其 关闭 。 
Router (config)#no cdp run 


下 面 是 一 个 禁用 不 需要 服务 的 边界 路 由 器 配置 模板 。 


Router (config)#no ip source-route 
Router (config)#no ip classless 
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Router (Config)#no service tcp-small-servers 
Router (Config)#no service udp-small-servers 
Router(config)iino ip finger 
Router(config)iino service finger 
Router(config)iino ip bootp server 
Router(config)iino ip http server 
Router(config)iino ip name-server 
Router(config)iino boot network 
Router(config)iino service config 
Router(config)ino snmp-server 


除了 上 述 在 全 局 停止 一 些 网 络 服务 外 ， 还 可 在 接口 上 拒绝 接收 一 些 容易 受到 攻击 的 服 
务 的 报 文 。 方 法 如 下 。 


Router (config)#interface Ethernet0 
Router (Config-if)# ip address dhcp 
Router (config-if)# no ip redirects 
Router (Config-if)# no ip unreachables 
Router (config-if)# no ip proxy-arp 
Router (Config-if)# ntp disable 


交换 机 及 路 由 器 中 的 很 多 服务 都 是 使 用 面向 非 连接 的 UDP。 为 了 安全 起 见 ， 可 以 将 这 
些 服务 报 文 的 源 地 址 设置 为 回环 接口 。 方 法 如 下 。 

Router (config)# snmp-server trap-source loopback 9 

Router (config)#ip tftp source-interface loopback 9 

Router (config)#ip radius source-interface loopback 9 


Router (config)#ip telnet source-interface loopback 9 
Router (config) #logging source-interface loopback 9 


3.3.5 ”登录 警告 


一 些 安全 区 域内 的 设备 ， 如 果 登 录 时 发 生 警 告 ， 则 对 于 闻 入 系统 的 黑客 进行 相应 的 民 
事 或 者 刑事 起 诉 将 会 十 分 容易 。 通 常 警告 的 配置 方式 如 下 。 


Router (config)#banner {exec | incoming | login | motd } message 


下 面 是 一 个 登录 警告 的 例子 。 


Router (config)#banner motd # 

Enter TEXT message. End with the character '#'. 

Warning : You are connected a monitored network. 

Unauthorized access and use of this network will be vigorously prosecuted 
---2-2nXXX.com------ 

Li 


34 本 章 小 结 


本 章 我 们 介绍 了 如 何 设计 一 个 可 靠 的 网 络 ， 针 对 一 些 比 较 容易 发 生 的 漏洞 做 了 攻击 演 
示 , 并 对 这 些 漏洞 进行 了 修补 。 简 要 介绍 了 Wireshark 等 抓 包 分 析 软 件 , 介绍 了 Cisco 的 SDM 
安全 配置 管理 器 ， 通 过 它 可 以 实现 基于 Web 的 安全 访问 控制 。 
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路 由 器 是 网 络 中 最 常见 的 网 络 设备 ， 由 于 通常 负责 大 量 的 数据 转发 ， 因 此 它 常 常 成 为 
众多 黑客 的 有 效 攻 击 对 象 。 路 由 器 安全 是 局 域 网 网 络 安全 中 的 一 个 重要 话题 ， 本 章 我 们 将 


学 习 如 何 使 路 由 器 变 得 更 
通过 本 章 的 学 习 ， 读 
今 “ 路 由 协议 安全 
信 访问 控制 
今 “ 路 径 完 整 性 检查 
今 “ 黑 洞 过 滤 


在 一 个 安全 的 网 络 中 
方向 的 是 路 由 协议 ， 所 以 
安全 的 路 由 体系 结构 的 网 


1. 路 由 过 滤 
适当 的 路 由 过 滤 对 于 
网 络 中 尤其 重要 。 在 这 些 


加 安全 。 
者 应 掌握 以 下 主要 内 容 : 


4.1 路 由 协议 安全 概述 


， 其 中 的 流量 怎样 流动 是 网 络 安全 的 最 根本 问题 ， 控 制 流量 流动 
需要 确保 路 由 协议 与 网 络 安全 的 需求 相 一 致 。 终 庸 置疑 ， 一 个 有 
络 与 一 个 路 由 结构 设计 有 缺陷 的 网 络 相 比 ， 前 者 更 不 容易 受到 攻 


击 ， 而 后 者 可 能 会 受到 致命 性 的 攻击 。 


网 络 安全 是 非常 重要 的 , 在 一 个 有 路 由 连接 到 外 部 Internet 的 专用 
网 络 中 ， 必 须 确保 路 由 过 滤 用 于 过 滤 出 那些 进入 专用 网 络 的 路 由 


和 不 受 欢迎 的 路 由 ， 并 确保 只 有 真正 包含 在 内 部 网 络 上 的 路 由 才能 允许 通告 。 


路 由 过 滤 的 作用 是 使 


得 真正 需要 对 外 访问 的 用 户 能 够 访问 到 网 络 ， 而 隔断 内 部 涉及 机 


密 的 数据 服务 器 对 外 的 连接 。 通 常 ， 一 些 私 有 地 址 是 禁止 通告 到 互联 网 上 的 ， 这 些 地 址 


如 下 。 


*$999925$ 


0.0.0.0/0: 用 于 默认 路 由 。 

127.0.0.0/8: 主机 回环 地 址 。 

10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16: RFC1918 定义 的 专用 地 址 。 
169.254.0.0/16: Windows 等 系统 终端 结 点 自动 配置 的 DHCP 地 址 段 。 
192.0.2.0/24: 测试 地 址 段 ， 用 于 供应 商 文档 示例 。 

224.0.0.0/3: 组 播 地 址 段 。 


除了 上 述 这 些 专用 地 址 ,还 有 一 些 专用 网 络 的 IP. 地 址 段 也 不 允许 流出 到 外 部 的 网 络 上 。 


这 是 一 个 必要 的 防范 措施 
部 路 由 器 上 。 


， 它 能 保护 一 些 在 内 部 网 络 上 的 主机 流量 不 会 被 无 意 地 通告 到 外 


网 络 安全 大 全 a 


在 一 个 局 
从 低 安全 等 级 
制 ， 然 后 通过 
断 从 低 安全 网 


域 网 络 中 ， 通 常 我 们 会 将 其 划分 为 不 同 的 区 域 ， 每 个 区 域 有 特定 的 安全 等 级 。 
区 域 访 问 到 高 安全 等 级 的 区 域 通常 我 们 可 以 配备 适当 的 防火 墙 和 其 他 认证 机 
路 由 过 滤 的 方式 将 流量 引入 通过 防火 墙 的 链 路 。 另 外 ， 我 们 也 可 以 人 为 地 隔 
络 区 域 到 达 高 安全 网 络 区 域 的 能 力 。 


正确 地 应 
网 络 部 分 区 域 


对 于 运营 1 


转发 路 由 条 目 
策略 就 是 使 用 


路 由 过 滤 ， 还 可 以 将 地 址 段 汇 总 ， 对 外 隐藏 自己 的 网 络 拓扑 ， 并 且 在 内 部 
出 现 故 障 后 ， 设 置 在 边界 路 由 器 上 的 出 口 过 滤 能 够 阻止 故障 在 网 络 上 蔓延 。 
商 而 言 ,它们 可 以 使 用 策略 路 由 过 滤 的 方式 。 通常 为 了 保证 Internet. 上 的 BGP 
较 少 ， 运 营 商 要 求 地 址 前 级 大 于 20 的 路 由 不 能 通告 到 运营 商 网 络 ， 而 这 样 的 
策略 路 由 过 滤器 实现 的 。 


2. 恰当 地 使 用 静态 路 由 
在 大 多 数 情况 下 ， 动 态 路 由 协议 给 网 络 的 稳定 性 和 灵活 性 提供 了 很 好 的 平台 。 但 是 很 


多 时 候 还 是 需 
的 流量 控制 。 
它 来 阻 断 攻击 


要 用 到 静态 路 由 ， 并 且 静 态 路 由 常用 于 默认 路 由 的 通告 和 一 些 具 有 明显 特征 
由 于 其 管理 距离 优先 级 高 于 动态 路 由 ， 通 常 还 可 以 在 网 络 遭 受 攻 击 时 ， 通 过 
者 和 网 络 的 链接 ， 过 滤 攻 击 流量 。 


3. 网 络 收敛 速度 
快速 收敛 对 于 一 个 安全 的 网 络 是 非常 重要 的 ， 在 网 络 受 到 破坏 进行 回复 的 时 候 ， 收敛 


慢 的 网 络 可 能 需要 较 长 的 时 间 ， 这 将 会 使 问题 进一步 恶化 。 在 Internet 范围 内 ， 对 于 大 型 网 


络 而 言 ， 特 别 


是 运营 商 网 络 ， 它 们 所 使 用 的 BGP 域 间 路 由 ， 如 果 收 敛 慢 将 会 意味 着 相当 客 


观 的 收入 大 量 损 失 。 即 便 是 对 一 个 相对 较 小 的 园区 网 络 而 言 ， 也 意味 着 较 大 的 生产 力 受到 


破坏 。 
慢 收敛 的 


击 可 以 是 一 个 或 者 两 个 结 点 出 现 故 障 ， 如 果 此 时 网 络 外 
味 着 Dos 攻击 实际 上 只 攻击 一 个 结 # 
扫 敛 性 通常 依赖 于 很 多 不 同 的 因素 ， 包 括 网络 体系 结构 的 复杂 性 、 网 络 区 域 划分 、 网 


网 络 通常 还 会 遇 到 一 个 问题 : 更 加 容易 遭受 拒绝 服务 (DoS) 攻 击 。 通常 Dos 攻 
需要 花费 大 量 的 时 间 用 于 收敛 ， 将 意 
点 失效 了 。 


就 会 导致 大 量 的 结 ! 


络 元 余 是 否 存在 、 不 同 路 由 器 路 由 计算 设置 的 参数 等 。 对 于 网 络 管理 员 而 言 ， 有 责任 去 提 
高 网 络 的 收敛 速度 ， 并 且 根 据 加 快 收敛 性 的 策略 来 设计 网 络 ， 提 高 收敛 速度 。 


4.2 增强 路 由 协议 的 安全 


路 由 协议 运行 时 ， 通 常 信任 端 路 由 器 发 来 的 任何 消息 且 不 作 验 证 ， 这 样 就 导致 了 一 些 
特殊 的 攻击 行为 。 例 如 ， 某 些 路 由 协议 采用 组 播 的 方式 发 送 路 由 消息 ， 这 样 监听 者 就 可 以 
采用 相同 的 方式 伪造 组 播报 文 ， 导 致 受 攻击 的 路 由 器 不 仅 受骗 将 数据 发 送 到 不 正确 的 地 址 ， 
而 且 灵 活 的 操纵 策略 也 完全 不 能 运作 。 有 时 还 能 简单 地 诱导 路 由 改变 ， 以 将 流量 重 定向 到 
网 络 中 适当 的 位 置 以 便 攻 击 者 分 析 ， 这 样 导致 了 攻击 者 能 够 区 分 流量 模式 并 获得 并 不 是 发 


给 他 的 消息 。 
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4.2.1 路 由 协议 的 认证 方法 


促进 路 由 协议 认证 的 原因 来 自 大 量 的 黑客 攻击 行为 从 应 用 层 逐 渐 下 移 ， 并 且 随 着 BGP 
路 由 协议 的 提出 大 量 应 用 于 Intemet， 运 营 商 将 更 加 担心 这 样 的 核心 路 由 器 被 一 个 假冒 的 
BGP 邻居 控制 ， 而 一 个 BGP 路 由 器 通常 会 通告 大 量 的 路 由 信息 ， 当 一 台 路 由 器 遭受 攻击 时 
大 量 的 业务 将 被 影响 。 

通常 大 部 分 路 由 协议 在 进行 消息 交换 时 ， 通 过 携带 特定 的 消息 字段 来 进行 验证 ， 如 
图 4-1 所 示 。 


| 
路 由 器 A 路 由 器 B 


Key na Internet 


„L N i 


认证 消息 
图 4-1 路 由 协议 认证 原理 
通常 对 于 认证 消息 字段 可 以 使 用 明文 密码 和 MD5-HMAC 两 种 方式 进行 处 理 。 
1. 明文 加 密 


通过 使 用 一 个 明文 字符 串 (Key)， 随 着 路 由 更 新 消息 一 同 发 送 到 另 一 个 路 由 器 上 ， 另 一 
个 路 由 器 上 如 果 设 置 了 同样 的 字符 串 ， 则 该 路 由 消息 会 验证 成 功 ， 从 而 接受 路 由 更 新 消息 。 
但 是 这 并 不 是 一 个 很 安全 的 加 密 方式 ， 稍 微 熟练 的 一 个 黑客 就 能 轻松 截取 到 A 发 送 到 B 的 
消息 ， 并 使 用 这 样 的 一 个 纯 字 符 串 伪造 消息 。 

2. MD5-HMAC 加 密 


MD5-HMAC 算法 就 是 为 了 避免 密 钥 以 明文 形式 在 网 络 中 传播 , 它 使 用 配置 的 密 钥 进 行 
一 个 加 密 的 散 列 算法 计算 。 首 先 发 送 端 路 由 器 A 将 路 由 更 新 消息 作为 输入 文本 ， 利 用 密 钥 
和 散 列 函数 进行 计算 得 到 一 个 散 列 值 。 接 着 ， 将 这 个 散 列 值 随 着 路 由 更 新 消息 一 同 传输 给 
接收 端 路 由 器 B。 接 收 端 的 路 由 器 B 将 接受 到 的 路 由 更 新 消息 作为 文本 ， 并 把 自己 的 密 铀 
放 入 散 列 函数 ， 计 算出 一 个 新 的 散 列 值 ， 与 路 由 器 A 传 来 的 散 列 进行 比较 ， 如 果 相 同 则 接 
受 消息 。 

值得 我 们 关注 的 是 ， 第 二 种 算法 一 方面 解决 了 路 由 器 相互 之 间 加 密 认 证 的 问题 ， 另 一 
方面 也 对 收 到 的 消息 做 了 完整 性 检验 。 一 旦 某 个 攻击 者 截获 了 路 由 信息 ， 由 于 没有 密 铀 ， 
即便 是 使 用 相同 的 散 列 ， 作 为 文本 输入 的 路 由 更 新 消息 也 会 随 着 改变 ， 将 导致 验证 失败 。 
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4.2.2 RIP 协议 安全 


※ 场 景 呈现 
小 A 是 UT 大 学 计算 机 系 的 一 名 学 生 ， 在 某 次 做 计算 机 网 络 大 作业 的 时 候 ， 使 


应 用 实例 导航 : UT 大 学 路 由 协议 攻击 与 防范 


Wireshark 截获 了 如 图 4-2 所 示 的 报 文 。 


> Frame 15 (126 bytes on wire, 126 bytes captu 


ured) 
Ethernet II, src: D bs 4a (00:10:7b:81:b5:4a), Ost: 01:00:56:00:00:09 (01:00:5e:00:00:09) 


K 
» Internet Protocol, Sre: 192.168.1.101 (192.168.1.101), Dst: 224.0.0.9 (224.0.0.9) 
» User Datagram Protocol, EM ($20), Ost Port: router (520) 


Command: Response 


图 4-2 小 人 A 截获 的 RIP 信息 报 文 


从 图 4-2 可 以 看 出 ， 小 A 所 在 的 网 络 接口 上 路 由 器 的 RIP 路 由 协议 没有 关闭 ， 
以 看 到 对 方 路 由 器 的 IP 地 址 为 192.168.1.101, 通告 的 地 址 段 为 100.1.1.0、200.1.1.0、201.1.1.0 
和 202.1.1.0。 此 后 小 A 通过 伪造 RIP 路 由 协议 信息 报 文 将 大 量 的 路 由 信息 注入 到 接 入 路 由 
设备 中 ， 使 学 校 部 分 网 络 瘫痪 。 
如 果 小 A 将 更 多 的 地 址 (例如 100 万 条 路 由 条 目 ) 注 入 , 校内 路 由 设备 将 会 不 堪 重 负 , 不 


停 地 死机 重启 ， 从 而 产生 更 大 规模 的 网 络 中 断 。 
图 4-3 所 示 为 UT 大 学 网 络 拓扑 ， 小 A 攻击 的 就 是 A 校区 的 路 由 器 Router A。 


4-3 UT 大 学 网 络 拓扑 


且 可 
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GRRSESR 


(1) 配置 RIP 报 文 认证 ; 
(2) 关闭 RIP 的 路 由 更 新 。 


路 由 信息 协议 (Routing Information Protocol，RIP) 是 以 跳 数 作为 度量 值 (Metric) 的 距离 向 
量 协议 。RIP 广泛 用 于 全 球 因特网 的 路 由 ， 是 一 种 内 部 网 关 协 议 (Interior Gateway Protocol, 
IGP)， 即 在 自治 系统 内 部 执行 路 由 功能 。 


1. 配置 RIP 报 文 认证 


RIP 协议 有 两 种 版 本 : 第 一 版 (RIPv1) 和 第 二 版 (RIPv2)。RIPv1 没有 使 用 认证 机 制 并 使 
用 不 可 靠 的 UDP 协议 进行 传输 ， 天 生 就 有 不 安全 因素 。RIPv2 的 分 组 格式 中 包含 了 一 个 选 
项 , 可 以 设置 16 个 字符 的 明文 密码 字符 串 ( 表 示 可 以 很 容易 地 被 嗅 探 到 ) 或 者 MD5 认证 。 虽 
然 RIP 信息 包 可 以 很 容易 伪造 ， 但 在 RIPv2 中 使 用 MD5 认证 将 会 使 欺骗 的 操作 难度 大 大 

JM 

下 面 简要 地 介绍 一 下 配置 RIP 报 文 认证 的 过 程 。 

Q 在 路 由 器 上 指定 密 钥 链 (Key chain) 的 名 字 。 


Router (config)#key chain jam 
© 定义 一 个 密 钥 ， 并 设 定 这 个 密 钥 。 


Router(config-keychain) key 1 
Router(config-keychain-key)Hkey-string mike 


© 进入 需要 认证 的 接口 ， 并 配置 RIP 认证 信息 . 


Router (config)#int sO (进入 需要 认证 的 接口 ) 
Router (config-if)#ip rip authentication key-chain jam (使 用 密 钥 链 ) 


O 默认 情况 下 ， 加 密 方式 使 用 明文 方式 ; 车 要 使 用 MD5 认证 ， 可 以 执行 如 下 命令 。 


Router (config-if)#ip rip authentication mode md5 


© 配置 后 使 用 debug ip rip events 命令 ， 可 以 看 到 当 密 钥 不 匹配 时 会 出 现 如 下 消息 。 


Router#debugip rip events 
*Mar 1 03:26:46.016: RIP: ignored v2 packet from 1.1.1.2 (invalid 
authentication) 


Q 为 了 密码 安全 我 们 还 可 以 在 一 个 密 钥 链 中 定义 多 个 密 钥 ， 并 按 一 定 的 时 间 顺 序 进 行 修改 。 
key chain jam 

key 1 
key-string mike 
accept-lifetime 16:30:00 Nov 28 2004 duration 43200 (持续 43200 秒 ) 
send-lifetime 16:30:00 Nov 28 2004 duration 43200 

key 2 
key-string love 
accept-lifetime 04:00:00 Nov 29 2004 13:00:00 Apr 15 2005 (到 期 时 间 ) 
send-lifetime 04:00:00 Nov 29 2004 13:00:00 Apr 15 2005 

key 3 
key-string baby 
accept-lifetime 12:30:00 Apr 15 2005 infinite (永远 ) 


^5] 。 
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send-lifetime 12:30:00 Apr 15 2005 infinite 
Q 重复 上 述 步骤 ， 配 置 其 他 参与 RIP 路 由 协议 的 路 由 器 。 
2. 关闭 路 由 更 新 
使 用 密 钥 可 以 非常 容易 提高 路 由 器 的 安全 性 ， 但 是 RIP 路 由 协议 可 以 接受 来 自任 何 设 
备 的 路 由 更 新 ， 因 此 上 述 方法 并 不 是 一 劳 永 逸 的 办 法 。 为 了 解决 上 述 问 题 ， 我 们 可 以 将 一 
些 不 需要 接收 和 转发 路 由 信息 的 端口 设置 为 被 动 端 口 (Passive interface)。 
O 将 不 需要 转发 路 由 信息 的 端口 设置 为 被 动 端口 。 


Jam(config)#router rip 
Jam(config-router)#passive-interface EthernetO 


O 将 端口 设置 为 被 动 端口 后 , 需要 指定 路 由 更 新 邻居 , 否则 路 由 器 之 间 将 无 法 接收 到 路 由 更 新 。 


Jam(config-router)#neighbor 172.17.1.2 


3. 配置 实例 


在 上 述 “ 应 用 实例 导航 ”中 , 小 A 攻击 的 是 RouterA， 连 接 端口 是 Fal/0 接口 ， 因 此 我 
们 需要 将 这 个 接口 的 路 由 更 新 信息 关闭 ， 和 其 他 路 由 器 相连 时 ， 采 用 限定 邻居 的 单 播 方式 
相连 ,并 根据 不 同 的 时 间 使 用 不 同 的 密 钥 ， 加密 类 型 为 了 网 络 安全 采用 MDS. 下 面 是 为 UT 
大 学 网 络 配 置 安全 的 RIP 协议 的 过 程 。 
o 将 Router A 和 Router B 的 相应 端口 设置 为 被 动 端口 。 


RouterRA (config)#router rip 

RouterR(config-router)#version 2  // 一 定 要 开启 版 本 2 模式 才能 获得 加 密 认 证 功能 
RouterA (config-router)#passive-interface FastEthernet 1/0 

RouterA (config-router)#passive-interface FastEthernet 0/0 
RouterA(config-router)#passive-interface FastEthernet 0/1 

RouterB (config)#router rip 

RouterB (config-router)#version 2 

RouterB (config-router)#passive-interface FastEthernet 1/0 

RouterB (config-router)#passive-interface FastEthernet 0/0 

RouterB (config-router)#passive-interface FastEthernet 0/1 


O 将 路 由 器 A 和 B 设置 为 邻居 关系 。 


RouterA(config-router)&neighbor 172.17.1.1  // Router B Fa0/0 接 口 的 IP 地 址 
RouterB (config-router)#neighbor 172.17.1.2  // Router A Fa0/0 接 口 的 IP 地 址 


© 根据 时 间 配 置 密 钥 链 . 


RouterRA (config)#key chain RouterA 

RouterA(config-keychain)skey 1 

RouterA(config-keychain-key)itkey-string cisco 
RouterA(config-keychain-key)fdstaccept-lifetime 16:30:00 Nov 28 2004 duration 
43200 

RouterA(config-keychain-key)H4send-lifetime 16:30:00 Nov 28 2004 duration 
43200 

RouterA(config-keychain-key)tBtkey 2 
RouterA(config-keychain-key)itkey-string love 
RouterA(config-keychain-key)t& accept-lifetime 04:00:00 Nov 29 2004 13:00:00 
Apr 15 2005 

RouterA(config-keychain-key)4 send-lifetime 04:00:00 Nov 29 2004 13:00:00 
Apr 15 2005 
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RouterRA (config-keychain-key)#key 3 

RouterR (config-keychain-key)#key-string yourcisco 

RouterR (config-keychain-key)#accept-lifetime 12:30:00 Apr 15 2005 infinite 
RouterA(config-keychain-key)éssend-lifetime 12:30:00 Apr 15 2005 infinite 


RouterB (config)#key chain RouterB 

RouterB(config-keychain)skey 1 

RouterB(config-keychain-key)dkey-string cisco 
RouterB(config-keychain-key)fitaccept-lifetime 16:30:00 Nov 28 2004 duration 
43200 

RouterB(config-keychain-key)é$send-lifetime 16:30:00 Nov 28 2004 duration 
43200 

RouterB(config-keychain-key)itkey 2 
RouterB(config-keychain-key)fBtkey-string love 
RouterB(config-keychain-key)it accept-lifetime 04:00:00 Nov 29 2004 13:00:00 
Apr 15 2005 

RouterB (config-keychain-key)# send-lifetime 04:00:00 Nov 29 2004 13:00:00 
Apr 15 2005 

RouterB(config-keychain-key)itkey 3 
RouterB(config-keychain-key)étkey-string yourcisco 
RouterB(config-keychain-key)ftaccept-lifetime 12:30:00 Apr 15 2005 infinite 
RouterB(config-keychain-key)isend-lifetime 12:30:00 Apr 15 2005 infinite 


O 将 密 钥 链 应 用 到 需要 进行 认证 的 网 络 接口 上 。 


RouterRA (config)#int FastEthernet 0/0 
RouterRA (config-if)#ip rip authentication key-chain RouterR 
RouterA (config)#int FastEthernet 0/1 
RouterA (config-if)#ip rip authentication key-chain RouterA 
RouterB (config)#int FastEthernet 0/0 
RouterB (config-if)#ip rip authentication key-chain RouterB 
RouterB (config)#int FastEthernet 0/1 
RouterB (config-if)#ip rip authentication key-chain RouterB 


Q 定义 加 密 方式 为 明文 或 者 MD5 加 密 ， 这 里 使 用 MD5 加 密 。 


RouterA (config-if)#ip rip authentication mode md5 
RouterB(config-if)fip rip authentication mode md5 


加 点 评 与 拓展 : 对 于 UT 大 学 ， 采 用 RIP 路 由 协议 安全 的 配置 以 后 ， 小 A 通过 抓 包 
工具 将 再 也 无 法 看 到 有 关 RIP 协议 的 消息 了 ， UT 大 学 网 络 安全 性 提高 了 。 但 是 RIP 路 由 
协议 由 于 最 大 跳 数 为 16， 因 此 不 可 能 用 于 大 规模 网 络 ， 同 时 由 于 其 路 由 更 新 机 制 ， 收 敏 速 
度 相 对 于 OSPF 等 路 由 协议 慢 很 多 ， 所 以 对 于 大 型 网 络 ， 我 们 将 在 下 一 节 介绍 OSPF 协议 


安全 。 


4.2.3 OSPF 协议 安全 


应 用 实例 导航 : UT 大 学 网 络 配 置 安全 的 OSPF 协议 


※ 场 景 呈现 
图 4-4 为 前 文 所 述 的 UT 大 学 网 络 拓扑 结构 图 ， 随 着 学 校 的 发 展 ， 网 络 规模 扩大 ， 现 在 
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该 校 网 路 上 的 路 由 协议 为 OSPF， 小 A 攻击 的 区 域 仍然 是 A 校区 的 路 由 器 Router A。 


图 4-4 UT 大 学 网 络 拓扑 结构 图 


(1) 配置 OSPF 非 广 播 邻 居 ; 

(2) 配置 OSPF 路 由 器 认证 ; 

(3) 禁用 不 需要 OSPF 路 由 协议 接口 的 OSPF 更 新 ; 
(4) 配置 端 区 ; 

(5) 配置 路 由 器 ID; 

(6) 配置 SPF 计时 器 ; 

(7) HUH OSPF 路 由 过 滤 。 


OSPF(Open Shortest Path First, 开放 式 最 短路 径 优先 ) 路 由 协议 是 一 个 用 于 在 单一 自治 系 
统 (Autonomous system，AS) 内 的 决策 路 由 ， 它 是 最 常用 的 IGP 路 由 协议 之 一 。 与 RIP 不 同 ， 
OSPF 是 链 路 状态 路 由 协议 ， 而 RIP 是 距离 向 量 路 由 协议 。 同 时 ，OSPF 路 由 协议 可 以 将 网 
络 划 分 为 不 同 的 区 域 , 并 且 可 以 采用 多 种 区 域 属 性 和 认证 方式 , 安全 性 和 灵活 性 相对 于 RIP 
高 了 很 多 ， 并 且 路 由 收敛 速度 更 快 。 

1. 配置 OSPF 非 广 播 邻 居 

OSPF 路 由 器 与 邻居 通信 时 ， 很 多 情况 下 是 使 用 组 播 方式 ， 为 了 防止 受到 假冒 路 由 器 的 
攻击 ， 因 此 需要 将 一 些 链 路 的 通信 方式 修改 为 单 播 方式 。 
Q 将 路 由 器 配置 为 单 播 更 新 路 由 信息 . 


Router (config)#ip ospf network point-to-multipoint non-boardcast 


© 在 路 由 器 的 OSPF 进程 中 配置 邻居 。 


Router(config)itrouter ospf 1 

Router(config-router)i&neighbor 172.1.1.1 
Router(config-router)isneighbor 172.1.1.2 
Router(config-router)ineighbor 172.1.1.3 


2. 配置 OSPF 路 由 器 认证 
OSPF 邻居 路 由 器 认证 通过 路 由 器 上 接收 到 的 任何 OSPF 源 进行 。 来 自 一 个 OSPF 源 的 
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消息 如 果 不 被 认证 ， 将 会 被 丢弃 。 

OSPF 认证 消息 比较 灵活 ， 由 于 OSPF 有 区 域 的 概念 ， 所 以 相对 于 RIP 路 由 协议 而 言 ， 
OSPF 既 可 以 在 接口 上 进行 消息 认证 ， 也 可 以 对 某 个 区 域 进行 认证 。 
@ 在 路 由 器 参与 OSPF 路 由 交换 的 接口 上 配置 认证 。 

Router (config)#interface FastEthernet 0/1 

Router (config-if)#ip ospf message-digest-key md5 cisco 
O 在 路 由 器 的 OSPE 进程 中 配置 区 域 认证 。 


Router (config) #router ospf 1 
Router (config-router)#area 0 authentication message-digest 
Router (config-router)#area 1 authentication message-digest 


3. 禁用 不 用 的 接口 
除了 认证 外 ,对 于 不 需要 OSPF 路 由 协议 的 接口 ， 可 以 通过 配置 把 这 些 接口 的 OSPF 更 
新 能 力 关闭 ， 即 将 某 一 接口 配置 为 被 动 接口 。 


Router (config)# router ospf 100 
Router (config-router)# passive-interface FastEthernet 1/3 


4. 配置 端 区 

OSPF 是 一 个 可 以 把 网 络 划 分 成 不 同 区 域 的 路 由 协议 ,整个 网 络 的 中 心 区 域 号 必须 为 0， 
我 们 将 这 个 区 域 称 为 骨干 区 域 (Backbone area)。 通 常 其 他 非 0 区 域 只 能 连接 到 0 区 域 才能 通 
信 ， 如 图 4-5 所 示 。 


图 4-5 OSPF 区 域 


在 区 域 属性 中 ， 定 义 了 一 种 端 区 (Stub area) 属 性 ， 它 能 够 使 外 部 路 由 中 的 信息 不 能 被 发 
送 进 入 到 该 区 域 中 ， 并 且 在 端 区 内 的 路 由 器 依赖 于 区 域 边界 路 由 器 (ABR， 如 图 4-5 中 的 
Router A 和 Router B) 产 生 一 个 默认 路 由 发 送 目 的 地 为 端 区 外 的 数据 包 。 使 用 端 区 对 安全 有 
利 ， 因 为 整个 区 域 被 迫 只 有 一 个 单一 的 通过 ABR 的 出 口 ， 这 样 网 络 管理 员 可 以 通过 监视 恶 
意 活动 了 解 这 个 单一 出 口 。 端 区 的 另 一 个 优点 是 降低 了 路 由 器 的 负载 ， 因 为 端 区 内 的 路 由 
器 仅 能 和 一 条 来 自 ABR 的 默认 路 由 一 起 工作 ， 而 不 是 其 他 区 域 的 所 有 路 由 ， 这 种 降低 负载 
的 行为 从 某 种 意义 上 说 是 提高 了 稳定 性 ， 特 别 是 在 网 络 受到 攻击 的 时 候 ， 网 络 稳定 性 和 安 
全 性 具有 相同 的 含义 。 

端 区 的 配置 方式 如 下 。 
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© i ABR 路 由 器 上 配置 端 区 。 


RouterB (config)# router ospf 100 
RouterB(config-router)é& area 2 stub no-summary 
RouterB(config-router)é& area 2 default cost 10 


O 配置 端 区 内 其 他 所 有 路 由 器 。 


作为 路 由 器 的 ID。 当 网 络 受到 攻击 时 ， 如 果 这 个 接口 骨 溃 了 ， 则 路 由 器 不 得 不 


RouterB1 (config)# router ospf 100 
RouterBl(config-router)£ area 2 stub 
RouterB2 (config)# router ospf 100 
RouterB2 (config-router)ét area 2 stub 


5. 配置 路 由 器 ID 


在 默认 情况 下 ， 路 由 器 的 OSPF 进程 会 选取 路 由 器 中 所 有 接口 中 IP 地 址 最 高 的 那 一 个 
重新 选择 路 


由 器 ID， 然 后 重新 计算 路 由 信息 ， 这 样 将 极 大 地 降低 网 络 的 稳定 性 和 收敛 速度 ， 并 且 浪 费 


了 路 由 器 大 量 的 内 存 和 CPU. 


从 而 提高 了 稳定 性 。 给 路 由 器 配置 回环 接口 的 方法 如 下 。 


如 果 路 由 器 配置 了 回环 接口 后 ， 路 由 器 将 优先 采用 回环 接口 的 卫 地 址 作为 路 由 器 ID, 


Router (config)# interface loopback 0 
Router (config-if)# ip address 1.1.1.1 255.255.255.0 


当然 ， 我 们 还 可 以 直接 指定 路 由 器 的 ID， 也 能 达到 同样 效果 ， 方 法 如 下 。 


RouterRA (config)# router ospf 100 
RouterA(config-router)é& router-id 1.1.1.1 


6. 配置 SPF 计时 器 
由 于 网 络 拓扑 通常 是 相对 稳定 的 ， 开 启 SPF(Shortest Path First， 最 短路 径 优先 算法 ， 用 


于 OSPF 路 由 计算 ) 计 时 器 是 合适 的 ， 它 可 以 使 少数 路 由 器 暂时 前 溃 或 者 将 路 由 不 稳定 的 区 
域 控制 在 最 小 范围 。 


在 SPF 计时 器 中 有 两 个 参数 ， 一 个 是 SPF-delay， 另 一 个 是 SPF-holdtime。SPF-delay 


为 延迟 时 间 ， 单 位 为 秒 。 它 是 OSPF 接受 一 个 拓扑 变化 和 开始 一 个 SPF 计算 的 时 间 间 隔 。 
SPF-holdtime 是 在 两 个 连续 的 SPF 计算 之 间 的 最 小 时 间 ， 以 秒 为 单位 。 在 接收 到 一 个 拓扑 
变化 时 ,一 个 路 由 器 开始 它 的 OSPF 最 短 距 离 重 新 计算 前 ,SPF 计时 器 的 值 能 够 抑制 其 立刻 


进行 计算 ， 其 配置 方法 如 下 。 


Router (config)# router ospf 100 
Router (config-router)# timers spf 10 20 


虽然 这 个 选项 能 够 增加 网 络 受到 攻击 时 的 稳定 性 ， 但 是 因为 网 络 攻 击 会 导致 很 多 路 由 


抖动 , 这 也 增加 了 一 个 网 络 受 到 攻击 后 再 次 收敛 的 时 间 。 这 将 导致 OSPF 网 络 的 元 余 设 计 比 


n 


以 决定 是 否 需要 调整 这 个 参数 。 


常情 况 下 将 会 花费 更 长 的 时 间 才 能 发 挥 作用 ， 因 此 网 络 管理 员 必 须 紧 密 观 察 其 网 络 设计 ， 


7. 配置 OSPF 路 由 过 滤 
在 OSPF 路 由 协议 中 ，OSPF 区 域 中 可 以 允许 路 由 器 控制 路 由 ， 并 对 无 效 的 路 由 进行 过 
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滤 。 通 常 的 过 滤 方 式 有 区 域 过 滤 和 邻居 数据 库 过 滤 两 种 ， 其 配置 方式 如 下 。 


RouterB1 (config)# router ospf 100 
RouterBl(config-router)& area 2 filter-list prefix-list AREA2 in 
RouterB1 (config)#ip prefix-list AREA2 deny 10.10.0.0/24 


8. 配置 实例 


在 图 4-4 中 ， 小 A 攻击 的 就 是 Router A 和 A 校区 学 生 电 脑 网 络 相连 的 Fal/0 接口 ， 因 
此 我 们 需要 将 这 个 接口 的 路 由 更 新 信息 关闭 ， 并 且 在 骨干 区 域 设 置 路 由 认证 ， 防 止 非法 入 
侵 。 对 于 A、B 校区 而 言 ， 设 置 为 端 区 ， 并 且 设 置 路 由 过 滤 ， 防 止 小 A 的 非法 路 由 注入 。 
@ 接 照 下 述 方法 配置 路 由 器 C. 


RouterC (config)#interface loopback 0 

RouterC (config-if)#ip addr 1.1.1.1 255.255.255.255 

RouterC (config-if)#exit 

RouterC (config)#router ospf 1 

RouterC (config-router)#router-id 1.1.1.1 

RouterC (config-router)#area 0 authentication message-digest 
RouterC (config-router)#neighbor 2.2.2.2 

RouterC (config-router)#neighbor 3.3.3.3 

RouterC (config)#interface FastEthernet 0/0 

RouterC (config-if)#Description ToRouterA 

RouterC (config)#ip ospf network point-to-multipoint non-boardcast 
RouterC (config-if)#ip ospf message-digest-key 1 md5 cisco 
RouterC(config)HWinterface FastEthernet 0/1 

RouterC (config-if)#Description ToRouterB 

RouterC (config)#ip ospf network point-to-multipoint non-boardcast 
RouterC (config-if)#ip ospf message-digest-key 1 md5 cisco 


O 按照 下 述 方法 配置 路 由 器 A. 


RouterRA (config)#interface loopback 0 

RouterA (config-if)#ip addr 2.2.2.2 255.255.255.255 

RouterA (config-if)#exit 

RouterA (config) #router ospf 1 

RouterA (config-router)#router-id 2.2.2.2 
RouterA(config-router)#neighbor 1.1.1.1 

RouterA (config-router)#neighbor 3.3.3.3 

RouterA (config-router)#area 0 authentication message-digest 
RouterA (config-router)# area 1 stub no-summary 

RouterA (config-router)# area 1 default cost 10 

RouterA (config-router)# passive-interface FastEthernet 1/1 
RouterAConfig-router)# area 1 filter-list prefix-list AREAa in 
RouterA (config)#ip prefix-list AREAa deny 10.10.0.0/24 

RouterA (config) #interface FastEthernet 0/0 

RouterA (config-if)#Description ToRouterC 

RouterA (config)#ip ospf network point-to-multipoint non-boardcast 
RouterA (config-if)#ip ospf message-digest-key 1 md5 cisco 
RouterA(config)stinterface FastEthernet 0/1 
RouterA(config-if)sDescription ToRouterB 

RouterA(config)tsip ospf network point-to-multipoint non-boardcast 
RouterA (config-if)#ip ospf message-digest-key 1 md5 cisco 


© 校 照 下 述 方法 配置 路 由 器 B. 


RouterB (config)#interface loopback 0 
RouterB (config-if)#ip addr 3.3.3.3 255.255.255.255 
RouterB (config-if)#exit 
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RouterB (config)#router ospf 1 

RouterB(config-router)itrouter-id 3.3.3.3 
RouterB(config-router)ineighbor 1.1.1.1 
RouterB(config-router)ineighbor 2.2.2.2 
RouterB(config-router)é&area 0 authentication message-digest 
RouterB(config-router)é& area 1 stub no-summary 
RouterB(config-router)é& area 1 default cost 10 
RouterB(config-router)i passive-interface FastEthernet 1/1 
RouterBConfig-router)é area 1 filter-list prefix-list AREAb in 
RouterB (config)#ip prefix-list AREAb deny 10.10.0.0/24 

RouterB (config)#interface FastEthernet 0/0 

RouterB (config-if)#Description ToRouterC 

RouterB (config)#ip ospf network point-to-multipoint non-boardcast 
RouterB (config-if)#ip ospf message-digest-key 1 md5 cisco 
RouterB (config)#interface FastEthernet 0/1 
RouterB(config-if)$sDescription ToRouterA 

RouterB (config)#ip ospf network point-to-multipoint non-boardcast 
RouterB (config-if)#ip ospf message-digest-key 1 md5 cisco 


加 点评 与 拓展 : 在 UT 大 学 采用 OSPF 网 络 后 ， 通 过 对 骨干 区 域 进行 消息 验证 ， 并 
对 接 入 的 A.B 两 个 校区 都 设置 为 端 区 获得 了 较 好 的 路 由 安全 性 ; 对 于 容易 受到 攻击 的 结 点 ， 
进行 了 路 由 过 滤 ， 防 止 攻击 产生 的 非法 路 由 进入 校区 网 络 ; 同时 对 接 入 到 学 生 宿 舍 网 络 的 
接口 采用 了 被 动 模式 ， 小 A 通过 抓 包 将 一 无 所 获 ， 甚 至 连 网 络 上 用 的 什么 路 由 协议 都 不 知 
道 。UT 大 学 则 在 网 络 升 级 的 过 程 中 ， 获 得 了 更 好 的 路 由 安全 性 ， 并 为 以 后 网 络 升 级 打 好 了 
基础 。 


4.3 ”定向 组 播 控 制 


4.3.1 Smurf 攻击 


Smurf 攻击 主要 基于 互联 网 控制 信息 包 (ICMP)， 它 是 一 种 强力 的 拒绝 服务 (DoS) 攻 击 方 
法 ， 主 要 利用 的 是 卫 协议 的 直接 广播 特性 ， 如 图 4-6 所 示 。 


ICMP Reply de 
D-10787.254 
5-19216802 

ICMP Reply 一 

D-10787 254| 

S=192168.03| 


1CMP Reply 
D-10787.254 


$-19216804 10787254 


ICMP Reply 
D-10787254 
5-19216805 


ICMP Reply 
D-10787.254 
S-19216806 => 


ICMP Reply 
D-10787.254 
$-19216807 


4-6 Smurf 攻击 
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Smurf 攻击 的 方法 如 下 。 
今 “ 黑 客 锁定 一 个 被 攻击 的 主机 (通常 是 一 些 Web 服务 器 )。 
今 “ 黑 客 寻找 可 作为 中 间 代 理 的 站 点 ， 用 来 对 攻击 实施 放大 (通常 会 选择 多 个 ， 以 便 更 
好 地 隐藏 自己 ， 伪 装 攻击 )。 
信 ”黑客 给 中 间 代 理 站 点 的 广播 地 址 发 送 大 量 的 ICMP 包 ( 主 要 是 指 Ping 命令 的 回访 
包 )， 这 些 数据 包 全 都 以 被 攻击 的 主机 的 TP 地 址 作为 耳 包 的 源 地 址 。 
今 “ 中 间 代 理 向 其 所 在 的 子 网 上 的 所 有 主机 发 送 源 IP 地 址 欺骗 的 数据 
信 ”中 间 代 理 主机 对 被 攻击 的 网 络 进行 响应 。 
假设 黑客 拥有 调制 解 调 器 ， 或 者 其 他 能 快速 上 网 的 方式 ， 能 以 1Mbps 的 速度 向 中 间 代 
理 机 器 发 送 ICMP 数据 包 ， 再 假设 中 间 代 理 站 点 有 150 台 主 机 对 这 些 ICMP 包 作 出 了 响应 。 
这 样 ， 一 下 子 就 有 150Mbps 的 攻击 数据 从 中 间 代 理 涌 向 被 攻击 的 主机 。 黑 客 可 以 控制 
这 个 过 程 直 到 他 自己 连接 到 中 间 代 理 机 器 上 ， 并 且 控 制 中 间 代 理 持续 向 被 攻击 主机 发 送 
ICMP 包 。 
如 果 没 有 必须 要 向 外 发 送 广播 数据 包 的 情况 ， 就 可 以 在 路 由 器 的 每 个 接口 上 设置 禁止 
直接 广播 ， 防 止 路 由 器 成 为 黑客 的 中 间 人 代理， 其 配置 方式 如 下 。 


Router (config)# interface FastEthernet 0/1 
Router (Config-if)# no ip directed-broadcast 


4.3.2 单 播 逆向 路 径 转 发 


单 播 道 向 路 径 转发 (Unicast Reverse Path Forwarding, URPF) 的 主要 功能 是 防止 基于 源 地 
址 欺骗 的 网 络 攻击 行为 。 之 所 以 称 为 “逆向 ”， 是 针对 正常 的 路 由 查找 而 言 的 。 一 般 情 况 下 ， 
路 由 器 接收 到 报 文 ， 获 取 报 文 的 目的 地 址 ， 针 对 目的 地 址 查找 路 由 ， 如 果 找 到 了 就 转发 报 
文 ， 和 否则 丢弃 该 报 文 。URPF 通过 获取 报 文 的 源 地 址 和 进入 接口 ， 以 源 地 址 为 目的 地 址 ， 在 
转发 表 中 查找 源 地 址 对 应 的 接口 是 否 与 进入 接口 匹配 ， 如 果 不 匹 配 ， 则 认为 源 地 址 是 伪装 
的 ， 丢弃 该 报 文 。 通过 这 种 方式 ，URPF 能 够 有 效 地 防范 网 络 中 通过 修改 源 地 址 而 进行 的 恶 
意 攻 击 行为 。 图 4-7 所 示 是 一 种 攻击 模型 。 


伪造 地 址 
1.1.4.1 14.1.1 


(3 


Router A Router B Router C 


4-7 ”伪造 源 地 址 攻击 模型 


在 Router A 上 伪造 源 地 址 为 1.1.1.1 的 报 文 ， 向 Router B 发 出 请 求 ，Router B 响应 请 求 
时 将 向 真正 的 “1.1.1.1” 发 送 报 文 。 这 种 非法 报 文 对 Router B 和 Router C 都 造成 了 攻击 。 
受 攻击 者 除了 一 次 一 跳 地 追踪 这 个 分 组 的 来 源 以 外 ， 并 没有 其 他 的 办 法 来 检测 它 。 在 这 种 
情况 下 ， 如 果 站 点 B 的 网 络 管理 员 在 其 路 由 器 上 启用 某 种 类 型 的 机 制 就 可 能 很 好 地 防范 这 
样 的 攻击 。URPF 技术 可 以 应 用 在 上 述 环境 中 ， 阻 止 基于 源 地 址 欺骗 的 攻击 。 

URPF 通过 查找 任何 进入 路 由 器 的 路 由 表 的 接口 分 组 的 源 IP 地 址 工作 ， 从 逻辑 上 ， 如 
果 这 个 源 地 址 属于 路 由 器 背后 的 网 络 并 且 不 是 一 个 受 欺 骗 的 地 址 ， 这 个 路 由 表 就 包含 一 个 
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入 口 通 道 ， 显 示 路 由 器 有 一 个 通过 分 组 到 达 的 接口 去 往 该 地 址 的 途径 。 但 是 如 果 这 个 地 址 
是 一 个 受 欺 骗 的 地 址 ， 路 由 表 可 能 就 没有 这 个 入 口 通道 ， 因 此 地 址 不 在 这 个 路 由 器 中 ， 而 
是 从 Internet 上 某 个 网 络 (例如 图 4-7 中 的 Router. C) 偷 来 的 ， 当 路 由 器 查找 路 由 时 ， 如 果 没 
有 发 现 这 个 源 地 址 ， 就 丢弃 该 分 组 。 

Cisco 为 了 优化 URPF 的 速度 ， 使 用 了 Cisco CEF 快速 转发 引擎 来 处 理 。URPF 则 是 通 
过 查找 CEF 产生 的 转发 信息 数据 库 ,而 不 是 查找 路 由 表 。 这 样 将 会 更 高 效 地 进行 工作 ， 因 
此 在 配置 时 必须 开启 CEF。 图 4-8 显示 了 URPF 是 如 何 工作 的 。 


伪造 地 址 
1.1.1.1 
Fa 0/1 Fa 0/0 1.1.1024 - 


Router A Router B Router C 


图 4-8 URPF 工作 原理 


分 ” 当 了 PP 分 组 以 源 地 址 1.1.1.1 到 达 Fa0/0 接口 时 ，URPF 做 逆向 查找 来 评定 这 个 源 IP 
地 址 ， 通 过 查找 发 现 1.1.1.1 源 地 址 的 确 来 自 Fa0/0 接口 ， 则 URPF 验证 通过 。 

今 “ 当 了 分 组 以 源 地 址 1.1.1.1 到 达 Fa0/a 接口 时 ，URPF 做 逆向 查找 来 评定 这 个 源 IP 
地 址 ， 通 过 查找 发 现 1.1.1.1 源 地 址 来 自 Fa0/0 接口 ， 而 非 Fa0/1， 则 URPF 验证 未 
通过 ， 丢 弃 分 组 。 

URPF 的 配置 方法 如 下 。 

Q 开启 CEF 快速 转发 ， 以 便 URPF 快速 查询 转发 表 。 


Router (config)# ip cef 


© 在 接口 上 配置 URPF。 


RouterRA (config)#interface FastEthernet 0/0 
RouterA(config-router)& ip verify unicast reverse-path 


的 点 评 与 拓展 : URPF 工作 原理 虽然 简单 ， 但 是 需要 选择 合适 的 路 由 器 进行 配置 ， 
否则 可 能 在 一 些 路 由 器 上 产生 不 对 称 路 由 。 所 谓 不 对 称 路 由 就 是 当 一 个 分 组 发 送 返回 流量 
通过 的 接口 与 接收 该 分 组 的 原始 接口 不 同 。 例 如 某 个 用 户 发 送 接口 为 A， 但 是 流量 返回 的 
接口 是 B, 这 样 的 情况 很 有 可 能 是 网 络 管理 员 的 一 个 合理 的 安排 , 但 是 如 果 启 动 URPF 后 则 
会 导致 如 上 所 说 的 路 由 不 对 称 问题 。 因 此 通常 将 URPF 应 用 在 一 个 网 络 的 边缘 上 。 


4.4 路 由 黑洞 过 滤 


路 由 黑洞 过 滤 是 一 种 较为 少见 的 技术 ， 它 通过 一 个 名 为 Null0 的 接口 来 代替 访问 控制 
列表 将 非法 流量 过 滤 掉 。Null 0 接口 的 作用 就 是 定义 一 个 丢弃 报 文 的 接口 ,通过 配置 静态 路 
由 获得 。 配 置 Null 0 的 方法 如 下 。 


RouterA (config)#ip route 127.0.0.0 255.0.0.0 null 0 
RouterA (config)#ip route 192.168.0.0 255.255.0.0 null 0 


同时 ， 为 了 避免 因 流 量 转 储 到 Null 0 接口 而 产生 ICMP 不 可 达 消 息 被 对 方 攻击 者 再 次 
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利用 ， 需 要 在 Null 0 接口 上 配置 禁用 ICMP 不 可 达 消 息 ， 配 置 方法 如 下 。 


RouterRA (config)#interface FastEthernet 0/0 
RouterRA (config-if)# no icmp unreachables 


通常 ， 还 会 加 一 条 管理 距离 为 255 的 默认 路 由 ， 为 没有 有 效 路 由 的 路 由 器 路 由 所 有 流 
量 ， 并 且 可 以 避免 一 些 简单 的 Dos 攻击 以 改善 性 能 。 但 是 ， 加 入 时 必须 要 将 管理 距离 调整 
为 最 大 值 235， 防 止 其 影响 其 他 管理 距离 较 小 的 路 由 条 目 。 同 时 如 果 管 理 员 定义 了 一 条 管理 
距离 小 于 255 的 默认 路 由 ， 该 命令 也 会 失效 。 该 配置 方法 如 下 。 


RouterA (config)#ip route 0.0.0.0 0.0.0.0 null 0 255 


45 路径 完 整 性 检查 


在 路 由 协议 以 一 种 安全 的 方法 建立 起 来 以 后 ， 确 保 所 有 流量 通过 路 由 协议 基于 路 径 最 
短 优先 计算 出 来 的 路 径 被 路 由 是 重要 的 。 但 是 ，IP 中 的 一 些 特性 能 够 改变 的 只 有 路 由 器 自 
己 依 赖 路 由 协议 所 作出 的 路 由 决定 。 有 两 个 重要 的 特性 需要 我 们 关注 : 一 是 IP 源 路 由 ， 另 
一 个 是 ICMP 重 定向 。 


4.5.1 P 源 路 由 


IP 源 路 由 是 IP 的 一 个 特性 ， 它 允许 用 户 在 IP 分 组 中 设置 一 个 字段 来 指定 它 想 要 这 个 
分 组 经 过 的 路 径 。 源 路 由 能 够 破坏 正常 路 由 协议 的 工作 ， 从 而 给 攻击 者 留 下 了 一 个 机 会 。 
使 用 源 路 由 的 方法 上 只 有 几 种 ， 其 中 以 松散 源 记录 路 由 (Loose Source Record Route，LSRR) 较 
为 出 名 。 

攻击 者 可 以 使 用 源 路 由 的 一 个 方法 从 公用 网 络 到 达 RFC1918 专用 地 址 空间 。 正 常情 况 
下 ， 这 些 网 络 不 能 通过 Internet 到 达 ， 因 为 Internet 路 由 器 不 知道 该 怎样 路 由 这 些 地 址 。 但 
是 攻击 者 能 够 使 用 源 路 由 去 告诉 路 由 器 怎样 处 理 这 些 分 组 。 一 个 攻击 者 可 以 指定 一 个 加 入 


公 网 和 专用 网 络 的 路 由 器 作为 到 达 中 间 点 。 例 如 ， 在 路 由 器 背后 的 某 个 为 192.168.0.2 的 文 
件 服务 器 ， 正 常 的 情况 下 ，Internet 将 无 法 访问 到 这 样 的 服务 器 ， 但 是 通过 设置 源 路 由 ， 攻 


击 者 可 以 轻易 地 欺骗 路 由 器 ， 并 可 能 将 数据 转发 给 该 文件 服务 器 。 
如 果 没 有 特别 的 需求 ， 可 以 在 路 由 器 的 接口 上 关闭 源 路 由 ， 方 法 如 下 。 


RouterRA (config)#interface FastEthernet 0/0 
RouterA(config-router)& no ip source-route 


4.5.2 ICMP 重 定向 


在 关闭 IP 路 由 的 情况 下 ， 路 由 器 还 会 接收 伪造 的 ICMP 重 定向 ， 远 程 攻 击 者 可 以 利用 
这 个 漏洞 发 送 恶意 ICMP 信息 包 而 修改 路 由 器 中 的 路 由 表 。 
如 果 路 由 器 的 IP 路 由 功能 关闭 , 它 就 会 接收 伪造 的 ICMP 重 定向 包 并 修改 它 的 路 由 表 。 
在 IP 路 由 关闭 的 情况 下 ， 路 由 器 会 作为 主机 操作 。 在 IP 路 由 打开 的 情况 下 (默认 情况 下 是 
打开 的 )，ICMP 重 定向 包 会 接收 并 辨认 ， 不 过 ICM 重 定向 包 会 忽略 ， 路 由 器 不 会 根据 重 
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定向 包 更 新 路 由 表 。 下 面 列 举 了 伪造 ICMP 重 定向 包 的 危害 : 


今 ， 通 过 发 送 伪造 的 ICMP 重 定向 包 ， 恶 意 用 户 可 以 破坏 或 者 截获 来 自 路 由 器 上 的 
通信 

信 ”通过 通告 本 地 子 网 不 使 用 的 IP 地 址 为 默认 网 关 ， 可 以 导致 路 由 器 发 送 任意 包 到 本 
也 子 网 以 外 的 目的 地 。 

今 “ 通 过 通告 网 关 处 于 完全 不 同 的 子 网 ， 如 果 某 一 设备 为 这 个 伪造 的 网 关 代 理 ARP 请 


求 ， 所 有 目的 路 径 为 外 部 子 网 的 通信 会 转发 到 伪造 的 网 关 。 而 如 果 没 有 设备 为 伪 
造 网 关 代 理 ARP 请 求 ， 就 会 出 现 第 一 种 情况 描述 的 信息 被 阻挡 。 

令 “ 恶 意 用 户 插入 默认 网 关 为 攻击 者 机 器 的 耳 地 址 ， 可 以 截获 所 有 通信 。 

避免 这 样 的 攻击 可 以 在 接口 上 关闭 ARP. 代理 请 求 和 ICMP 重 定向 功能 。 一 个 较 好 的 边 

界 接口 配置 方案 如 下 。 

RouterRA (config)#interface FastEthernet 0/0 

RouterRA(config-if)# ip verify unicast reverse-path 

RouterA(config-if)i no ip redirects 


RouterRA(config-if)# no ip directed-boardcast 
RouterRA (config-if)# no ip proxy-arp 


46 本 章 小 结 


本 章 主 要 讲述 了 一 些 基 本 的 路 由 器 安全 配置 方案 ， 并 通过 实例 介绍 了 RIP 和 OSPF 路 
由 协议 的 安全 防范 。 在 RIP 协议 中 ， 可 以 屏蔽 不 用 端口 的 路 由 更 新 ， 并 且 可 以 使 用 MD5 的 
方式 对 路 由 消息 进行 认证 。OSPF 协议 则 除了 路 由 消息 认证 外 ， 还 可 以 提供 端 区 的 设置 ， 并 
:区 域内 过 波 非 法 的 路 由 条 目 。 随 后 介绍 了 一 些 通过 路 由 黑洞 过 滤 防 止 简单 的 DDoS 攻击 
的 方法 ， 以 及 通过 关闭 源 路 由 、ICMP 重 定 向 等 进一步 提高 了 路 由 器 安全 的 方法 。 对 于 服务 
提供 商 ， 我 们 将 在 后 续 的 章节 中 介绍 BGP 等 协议 的 使 用 以 及 访问 控制 列表 等 功能 。 
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第 5 章 交换 机 及 交换 网 络 安全 


随 着 网 络 的 逐渐 发 展 ， 以 太 网 价格 逐渐 下 降 ， 交 换 机 逐渐 拥有 多 层 交 换 功 能 ， 交 换 式 
络 已 经 在 很 多 公司 、 企 业 、 院 校 局 域 网 络 中 采用 。 但 是 构造 交换 式 的 局 域 网 在 带 来 众 
点 的 同时 ， 也 带 来 了 很 多 安全 隐患 ， 如 广播 攻击 、MAC 攻击 、VLAN 欺骗 、ARP 病毒 
如 何 防范 第 2 层 的 攻击 已 经 成 为 相当 重要 的 一 个 问题 了 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

* VLAN 的 定义 以 及 PVLAN 的 实现 

分 ”生成 树 算法 的 安全 

v ARP 病毒 攻击 与 防范 

* MAC 攻击 防范 


5.1 VLAN 隔离 


应 用 实例 导航 : Sadness 公司 交换 网 络 攻击 与 防范 


KREM 


投入 
在 网 
极 大 
而 无 


来 了 


Sadness 公司 是 一 个 大 型 的 制造 类 企业 ， 但 是 由 于 其 自身 发 展 速度 过 快 而 网 络 建设 并 未 
太 多 的 精力 ， 仍 旧 使 用 局 域 网 共享 文件 的 方式 共享 数据 。 某 日 一 工程 部 人 员 的 投标 书 
络 传输 的 过 程 中 被 技术 部 人 员 SC 截获 ， 此 人 将 其 卖 给 竞争 对 手 ， 使 得 公司 丢掉 了 一 笔 
的 订单 。 

当 公司 丢掉 这 笔 订 单 后 ， 试 图 查 出 泄漏 标书 的 人 ,， 却 因为 这 样 一 个 简单 的 共享 型 网 络 查 
终 。 最 终 认为 是 公司 外 部 人 员 窃取 了 标书 ， 于 是 在 内 部 和 外 部 网 络 之 间 加 装 了 防火 墙 。 
从 这 之 后 ， 泄 漏 标书 的 SC 多 次 截获 网 内 报 文 ， 继 续 高 价 卖 出 获 利 ， 给 Sadness 公司 带 
巨大 损失 。 


※ 技 术 要 领 


(1) VLAN 的 基本 概念 及 划分 方式 ; 
(2) 交换 式 网 络 中 VLAN 的 基本 配置 方法 。 


VLAN(Virtual Local Area Network， 虚 拟 局 域 网 ) 是 一 种 将 局 域 网 设备 从 逻辑 上 划分 ( 注 


意 ， 不 是 从 物理 上 划分 ) 成 一 个 个 网 段 ， 从 而 实现 虚拟 工作 组 的 新 兴 数 据 交 换 技术 。 一 方面 ， 
VLAN 建立 在 局 域 网 交换 机 的 基础 之 上 ; 另 一 方面 ，VLAN 是 交换 式 局 域 网 的 灵 瑰 。 这 是 
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因为 通过 VLAN 用 户 能 方便 地 在 网 络 中 移动 和 快捷 地 组 建 宽带 网 络 ， 而 无 需 改变 任何 硬件 
和 通信 线路 。 这 样 ， 网 络 管理 员 就 能 从 逻辑 上 对 用 户 和 网 络 资源 进行 分 配 ， 而 无 需 考 虑 物 
理 连 接 方 式 。VLAN 充分 体现 了 现代 网 络 技术 的 高 速 、 灵 活 、 管 理 简便 和 扩展 容易 等 特征 。 
ERRA VLAN 功能 是 衡量 局 域 网 交换 机 的 一 项 重要 指标 。 网 络 的 虚拟 化 是 未 来 网 络 发 展 
的 潮流 。 
VLAN 与 普通 局 域 网 从 原理 上 讲 没有 什么 不 同 , 但 从 用 户 使 用 和 网 络 管理 的 角度 来 看 ， 
VLAN 与 普通 局 域 网 最 基本 的 差异 体现 在 : VLAN 并 不 局 限于 某 一 网 络 或 物理 范围 , VLAN 
中 的 用 户 可 以 位 于 一 个 园区 的 任意 位 置 ， 甚 至 位 于 不 同 的 国家 。 

VLAN 是 一 种 逻辑 上 的 局 域 网 ， 可 以 将 不 同 交换 机 、 不 同 地 域 的 接口 划分 到 一 个 虚拟 
办 VLAN 中 ， 便 于 管理 和 维护 ， 同 时 划分 VLAN 还 可 以 隔离 广播 流量 ， 防 止 大 型 网 络 中 多 
台 机 器 广播 影响 性 能 。 

对 于 前 述 案例 ， 如 果 Sadness 公司 使 用 VLAN 隔离 不 同 部 门 的 流量 ， 则 不 会 出 现 类 似 
的 监听 泄密 问题 了 。 


5.1.1 VLAN 划分 


VLAN 成 员 模式 有 两 种 :静态 VLAN 和 动态 VLAN, WE 5-1 所 示 。 前 者 对 应 的 划分 
方法 是 基于 端口 划分 ， 后 者 对 应 的 三 种 划分 方法 : 基于 MAC 地 址 划分 、 基 于 网 络 地 址 划分 
和 基于 策略 划分 。 

静态 VLAN ——— 基于 端口 划分 


VLAN 成 员 模式 


及 划分 方法 基于 MAC 地 址 划分 


动态 VLAN 基于 网 络 地 址 划分 


基于 策略 划分 


5-1. VLAN 成 员 模式 和 划分 方法 


1. 基于 端口 划分 VLAN 


静态 VLAN 或 基于 端口 划分 的 VLAN 是 最 常用 的 VLAN 划分 方式 , 网 络 管理 员 把 交换 
机 的 某 个 端口 分 配给 一 个 VLAN 之 后 ， 此 端口 将 保持 某 VLAN 的 成 员 身份 ， 除 非 管理 员 更 
改 其 配置 。 比 如 某 交 换 机 的 1~4、18、20、22 端口 为 VLAN 10, 5~17 为 VLAN 20， 等 等 。 
根据 端口 划分 是 目前 定义 VLAN 最 广泛 的 方法 ,IEEE 802.1Q 规定 了 依据 以 太 网 交换 机 的 端 
来 划分 VLAN 的 国际 标准 。 
这 种 划分 方法 的 优点 是 定义 VLAN 成 员 时 非常 简单 ， 只 要 将 所 有 的 端口 都 指定 一 下 就 
可 以 了 。 它 的 缺点 是 当 一 个 用 户 从 一 个 端口 移动 到 另 一 个 端口 时 ， 网 络 管理 员 必 须 对 虚拟 
局 域 网 成 员 进 行 重新 配置 。 


2. 基于 MAC 地 址 划分 VLAN 
这 种 划分 VLAN 的 方法 是 根据 连接 在 网 络 中 的 每 个 设备 网 卡 的 物理 地 址 来 划分 
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VLAN, 即 对 每 个 MAC 地 址 的 主机 都 配置 其 属于 哪个 组 。 这 种 划分 VLAN 的 方法 的 最 大 优 
点 就 是 当 用 户 物理 位 置 移动 时 ， 即 从 一 个 交换 机 换 到 其 他 的 交换 机 时 ，VLAN 不 用 重新 配 
置 ， 所 以 ， 可 以 认为 这 种 根据 MAC 地 址 的 划分 方法 是 基于 用 户 的 VLAN。 这 种 方法 的 缺点 
是 初始 化 时 所 有 的 用 户 都 必须 进行 配置 ， 如 果 有 几 百 个 甚至 上 千 个 用 户 的 话 ， 配 置 任务 繁 
重 。 而 且 这 种 划分 方法 也 导致 了 交换 机 执行 效率 的 降低 ， 因 为 在 每 一 个 交换 机 的 端口 都 可 
能 存在 很 多 个 VLAN 组 的 成 员 ， 这 样 就 无 法 限制 广播 包 了 。 

Cisco 的 交换 机 可 以 使 用 名 为 VMPS(VLAN Management Policy Server, VLAN 成 员 策 咯 
服务 器 ) 的 服务 器 来 创建 一 个 MAC 地 址 数据 库 ， 并 用 于 动态 地 管理 VLAN。VMPS 实际 上 
就 是 一 个 MAC 地 址 到 VLAN 的 映射 数据 库 。 

3. 基于 网 络 层 地 址 划分 VLAN 

这 种 划分 VLAN 的 方法 是 根据 每 个 主机 的 网 络 层 地 址 或 协议 类 型 (如 果 支 持 多 协议 ) 葛 
分 的 ， 虽 然 这 种 划分 方法 是 根据 网 络 地 址 ， 比 如 IP 地 址 ， 但 它 不 是 路 由 ， 与 网 络 层 的 路 二 
毫 无 关系 。 它 虽然 查看 每 个 数据 包 的 IP 地 址 ， 但 由 于 不 是 路 由 ， 所 以 没有 RIP. OSPF 等 路 
由 协议 ， 而 是 根据 生成 树 算 法 进行 桥 交 换 。 
这 种 划分 方法 的 优点 是 用 户 的 物理 位 置 改变 了 ， 不 需要 重新 配置 所 属 的 VLAN， 而 且 
可 以 根据 协议 类 型 来 划分 VLAN， 这 对 网 络 管理 者 来 说 很 重要 。 另 外 ， 这 种 方法 不 需要 附 
加 的 帧 标记 来 识别 VLAN， 这 样 可 以 减少 网 络 的 通信 和 量 。 
这 种 划分 方法 的 缺点 是 效率 低 ， 因 为 检查 每 一 个 数据 包 的 网 络 层 地 址 是 需要 消耗 处 理 
时 间 的 (相对 于 前 面 两 种 方法 ), 一 般 的 交换 机 芯片 都 可 以 自动 检查 网 络 上 数据 包 的 以 太 网 由 
头 ， 但 要 让 芯片 能 检查 IP 帧 头 ， 需 要 更 高 的 技术 ， 同 时 也 更 费时 。 当 然 ， 这 与 各 个 厂商 能 
实现 方法 有 关 。 

4. 基于 策略 的 VLAN 

基于 策略 的 VLAN 是 一 种 比较 灵活 有 效 的 VLAN 划分 方法 。 目 前 , 常用 的 策略 有 (与 厂 
商 设备 的 支持 有 关 ): E MAC 地 址 、 按 IP 地 址 、 按 以 太 网 协议 类 型 、 按 网 络 的 应 用 等 。 

划分 VLAN 后 的 交换 机 将 使 用 VLAN 标记 ,以 标明 此 帧 是 属于 哪 一 个 VLAN 的 。 利 月 
这 个 标记 ， 交 换 机 才能 把 收 到 的 帧 发 送 到 正确 的 端口 。 


5.1.2. VLAN 配置 


1. 创建 VLAN 


创建 VLAN 的 方式 有 两 种 ,一 种 是 全 局 配置 模式 下 创建 VLAN， 男 一 种 是 在 VLAN 数 
据 库 模 式 下 创建 (这 种 方法 仅 限于 Cisco 交换 机 )。 

1) ”在 VLAN 数据 库 模 式 下 创建 VLAN 

例如 ， 我 们 现在 需要 创建 一 个 名 为 Jam 的 VLAN， 其 VLAN 编号 为 3， 在 VLAN 数据 
库 模 式 下 创建 VLAN 配置 过 程 如 下 。 
Q 在 交换 机 的 特权 模式 下 ， 进 入 VLAN 数据 库 模式 。 


Switch#vlan database 
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$ Warning: It is recommended to configure VLAN from config mode, 
as VLAN database mode is being deprecated. Please consult user 
documentation for configuring VTP/VLAN in config mode. 

Switch (vlan) # 


© 创建 vVLAN 3， 并 将 其 命名 为 Jam。 


Switch(vlan)ivlan 3 name Jam 
VLAN 3 added: 
Name: Jam 


© eis VLAN 后 ， 必 须 退 出 VLAN 数据 库 模 式 才能 使 得 配置 生效 。 


Switch (vlan) #exit 
APPLY completed. 
Exiting.... 
Switch# 


O 如 果 要 查看 VLAN 数据 库 ， 可 以 在 交换 机 的 特权 模式 下 使 用 如 下 命令 。 


Switch#show vlan 

VLAN Name Status Ports 

En default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/11, Fa0/12,Gi0/1 


Gio/2 
3 Jam active 
1002 fddi-default act/unsup 
--More— 


2) “在 全 局 配置 模式 下 创建 VLAN 
另 一 种 创建 VLAN 方式 是 在 全 局 模式 配置 VLAN， 例 如 我 们 要 在 交换 机 加 入 一 个 名 为 
Cisco 的 VLAN, $E VLAN 编号 为 4， 其 创建 过 程 如 下 。 
Q 在 交换 机 的 全 局 模式 下 ， 直 接 执行 vlan 命令 就 可 以 进入 VLAN 配置 模式 ， 并 通过 name 命 
令 来 修改 VLAN 的 名 称 。 
Switch (config)#vlan 4 
Switch (config-vlan)#name cisco 
© 创建 VLAN 后 ， 需 要 退出 VLAN 配置 模式 才能 保存 创建 的 VLAN。 
Switch (config-vlan)#exit 
Switch (config) # 
同样 ， 可 以 通过 show vlan 命令 来 查看 VLAN 数据 库 。 
2. 删除 已 创建 的 VLAN 


删除 VLAN 也 有 两 种 模式 , 一 种 方法 是 全 局 配置 模式 下 删除 VLAN, 另 一 种 是 在 VLAN 
数据 库 模 式 下 删除 (这 种 方法 仅 限于 Cisco 交换 机 )。 

在 VLAN 数据 库 模式 下 ， 删 除 一 个 VLAN 如 下 。 

Switchitvlan database 

$ Warning: It is recommended to configure VLAN from config mode, 
as VLAN database mode is being deprecated. Please consult user 


documentation for configuring VTP/VLAN in config mode. 
Switch (vlan) #no vlan 3 
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Deleting VLAN 3... 
Switch (vlan) #exit 
APPLY completed. 
Biitit: sss 
Switch# 


在 全 局 配置 模式 下 ， 只 需要 执行 no vlan 命令 即 可 删除 已 创建 的 VLAN. 


Switch (config)#no vlan 4 


删除 VLAN 后 ， 同 样 可 以 通过 show vlan 命令 来 查看 VLAN 数据 库 来 验证 命令 执行 


3. 指定 交换 机 端口 的 VLAN 属性 
使 用 VLAN 的 交换 机 ， 其 端口 分 为 两 种 不 同 的 类 型 ， 一 种 是 接 入 端口 ， 可 以 连接 各 种 
网 络 设备 ， 所 有 通过 这 种 端口 接 入 的 网 络 设备 都 是 某 个 VLAN 的 成 员 。 交 换 机 通过 这 种 端 
向 外 发 送 数据 帧 之 前 ， 会 把 所 有 的 VLAN 信息 删除 。 通 过 这 种 端口 连接 的 网 络 设备 ， 只 
能 与 同一 VLAN 的 成 员 通 信 。 要 与 其 他 VLAN 成 员 通 信 , 必须 经 过 路 由 器 对 数据 包 的 路 由 。 
另 一 种 是 Trunk( 中 继 ) 端 口 ， 允 许 所 有 VLAN 的 数据 通过 。 这 种 端口 可 以 用 于 交换 机 到 交换 
机 、 交 换 机 到 路 由 器 ， 甚 至 交换 机 到 服务 器 的 连接 。Trunk 连接 只 在 百 兆 或 千 兆 这 样 的 快速 
连接 中 使 用 。 不 管 数据 帧 属于 哪 一 个 VLAN， 都 可 以 通过 这 种 端口 发 送 。 

配置 好 VLAN 后 , 我 们 就 需要 将 交换 机 的 相应 端口 划分 到 一 个 VLAN P, 其 方法 如 下 。 
Q 在 交换 机 的 全 局 配置 模式 下 ， 进 入 需要 配置 VLAN 的 端口 。 


Switch (config)#interface fastEthernet 0/1 


© 将 端口 的 类 型 修改 为 接 入 端口 。 


Switch (config-if)#switchport mode access 


© 指定 端口 的 VLAN 号。 


Switch (config-if)#switchport access vlan 3 


© 在 新 版 的 Cisco 交换 机 中 ， 配 置 VLAN 是 相当 智能 化 的 ， 当 将 一 个 端口 加 入 到 没有 创建 的 
VLAN 时 ， 交 换 机 将 自动 创建 相应 的 VLAN S. 例如， 下 面 的 操作 是 在 交换 机 中 创建 一 个 
ID 为 100 的 VLAN， 并 将 第 2 个 快速 以 太 网 端口 的 VLAN 号 指定 为 该 VLAN. 


Switch (config)#interface fastEthernet 0/2 
Switch (config-if)#switchport mode access 
Switch(config-if)sswitchport access vlan 100 


@@ 在 新 版 的 Cisco 交换 机 中 ， 如 果 要 将 一 批 端 口 同时 加 入 到 同一 个 VLAN 中 ， 还 可 以 使 用 
interface range 命令 来 批量 配置 端口 的 VLAN 号 。 下 面 的 例子 是 指定 2~8、11~15 号 端口 
为 VLAN 4 端口 。 
Switch (config)#interface range fastEthernet 0/2 - 8 , fastEthernet 0/11 - 
I ———Á— mode access 
Switch(config-if)iswitchport access vlan 4 


% Access VLAN does not exist. Creating vlan 4 
Switch (config-if)# 


OQ 配置 完成 后 ， 需 返回 到 特权 模式 ， 并 保存 配置 。 


*67* 


a 网 络 安全 大 全 a 


Switch (config-if)#end 
Switch #copy run start 


[7) 可 以 通过 show run 或 show interface 命令 来 验证 配置 。 
Switch #show interface fa0/1 switchport 
4. 将 交换 机 端口 指定 为 Trunk 端口 
交换 机 之 间 互 连 的 端口 需要 设置 为 Trunk 端口 。 设 置 时 需要 做 几 项 工作 : 一 是 将 当前 
端口 设置 为 Trunk 模式 ， 二 是 指定 数据 帧 的 封装 形式 ， 三 是 定义 Trunk 允许 的 VLAN。 下 面 
的 例子 是 将 交换 机 的 FastEthernet 0/24 端口 设置 为 Trunk 端口 的 配置 过 程 。 
O 在 交换 机 的 全 局 模式 下 ， 进 入 要 配置 为 Trunk 的 端口 。 
Switch (config)#interface fastEthernet 0/24 
© 将 端口 的 类 型 修改 为 Trunk 端口 
Switch (config-if)#switchport mode trunk 
e 指定 数据 帧 的 封装 形式 ， 其 中 isl 是 Cisco 专用 的 VLAN 封装 形式 ，dot1q 是 IEEE 制定 的 国 
际 标准 。 这 是 可 选 设置 ， 对 于 早期 的 Cisco 交换 机 的 默认 设置 是 isl， 近 几 年 出 厂 的 Cisco 交 
换 机 的 默认 设置 是 dot1q， 非 Cisco 交换 机 不 需要 设置 此 项 ， 只 能 采用 dotlq. 
Switch (config-if)# switchport trunk encapsulation ( isl | dotiq } 
© 定义 Trunk 允许 的 VLAN，all 表示 所 有 ，except 表示 除 此 之 外 都 允许。 这 也 是 可 选 设置 ， 
默认 情况 下 允许 所 有 VLAN 通过 该 端口 。 


Switch (config-if)# switchport trunk allowed vlan {add vlan-list | all | except 
vlan-list 


O 配置 完成 后 ， 采 用 同样 的 方法 保存 配置 和 验证 配置. 
的 点 评 与 拓展 : 采用 如 上 配置 后 ， 则 可 以 将 Sadness 公司 的 网 络 按照 部 门 的 不 同 分 


布 划 分 开 , 这 样 技术 部 的 ST 仅 能 侦 听 到 自己 部 门 的 数据 , 而 无 法 继续 侦 听 其 他 部 门 消息 了 。 
VLAN 的 配置 使 得 整个 公司 的 网 络 按照 部 门 从 逻辑 上 隔 开 了 。 


5.2 动态 VLAN 


应 用 实例 导航 : Sadness 公司 配置 安全 的 动态 VLAN 
※ 场 景 呈现 


Sadness 公司 虽然 使 用 了 VLAN 的 方式 隔离 不 同 部 门 之 间 的 流量 ， 但 是 ， 某 日 SC 在 利 
益 的 驱使 下 ， 继 续 开始 监听 ， 他 在 工程 部 某 个 同事 病假 未 来 上 班 之 际 ， 将 自己 的 电脑 接 在 
同事 的 端口 上 ， 再 一 次 开始 监听 ， 如 图 5-2 所 示 。 
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技术 部 工程 部 。 工程 部 技术 部 ”技术 部 工程 部 
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5-2 Sadness 公司 网 络 结构 图 


当 公司 再 次 丢掉 一 笔 订 单 后 ， 却 依旧 无 法 查 出 泄漏 标书 的 人 ， 而 池 漏 标书 的 SC 依旧 继 
续 截 获 网 内 报 文 ， 继 续 高 价 卖 出 标书 获 利 。 


(1) 动态 VLAN 的 基本 原理 ; 
(2) 动态 VLAN 的 配置 方法 。 


5.2.1 动态 VLAN 概述 


动态 VLAN 的 形成 很 简单 ， 由 端口 自己 决定 属于 哪个 VLAN 时 ， 就 形成 了 动态 的 
VLAN。 它 是 一 个 简单 的 映射 ， 这 个 映射 取决 于 网 络 管理 人 员 创建 的 数据 库 。 分 配给 动态 
VLAN 的 端口 被 激活 后 ， 交 换 机 就 缓存 初始 帧 的 源 MAC 地 址 。 随 后 ， 交 换 机 便 向 一 个 称 为 
VMPS(VLAN Membership Policy Server，VLAN 成 员 策略 服务 器 ) 的 外 部 服务 器 发 出 请 求 ， 
VMPS 中 包含 一 个 文本 文件 ， 文 件 中 存 有 进行 VLAN 映射 的 MAC 地 址 。 交 换 机 对 这 个 文 
件 进行 下 载 ， 然 后 对 文件 中 的 MAC 地 址 进行 校 验 。 如 果 在 文件 列表 中 找到 MAC 地 址 ， 交 
换 机 就 将 端口 分 配给 列表 中 的 VLAN. 如 果 列 表 中 没有 MAC 地址， 交换 机 就 将 端口 分 配给 
默认 的 VLAN( 假 设 已 经 定义 默认 的 VLAN)。 如 果 在 列表 中 没有 MAC 地址 ， 而 且 也 没有 定 
义 默认 的 VLAN， 端 口 不 会 被 激活 ， 如 图 5-3 所 示 。 动 态 VLAN 是 维护 网 络 安全 一 种 非常 
好 的 方法 。 
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个 组 内 ， 并 作 如 下 响 


Primary VMPS 
Server 


”动态 VLAN 


Secondary 
VMPS 
Server 


图 5-3 动态 VLAN 
如 果 所 分 配 的 VLAN 被 限制 在 一 组 端口 范围 内 ，VMPS 确认 发 起 请 求 的 端 


应 。 


S WR VLAN 在 该 端口 是 允许 的 ，VMPS 向 客户 返回 VLAN 的 名 字 。 


* ”如果 VLAN 在 该 端口 是 不 允许 的 ，VMPS 不 处 于 安 


是 否 在 这 


全 模式 ， 这 时 拒绝 接 入 响应 。 


* ”如果 VLAN 在 该 端口 是 不 允许 的 ， 并 且 VMPS 处 于 安全 模式 ，VMPS 发 出 端口 关 


闭 响应 。 


如 果 VMPS 数据 库 内 的 VLAN 与 该 端口 上 当前 的 VLAN 不 匹配 , 并 且 该 端 
主机 ，VMPS 会 视 VMPS 的 安全 模式 发 出 拒绝 或 端口 关闭 响应 。 如 果 交 换 机 从 V 
器 端 接 收 到 拒绝 接 入 响应 ， 将 会 阻止 由 该 MAC 地 址 发 往 此 端口 或 者 从 这 个 端口 


上 有 活动 


MPS 服务 


发 出 的 数 


据 。 交 换 机 将 继续 监控 发 往 该 端口 的 分 组 ， 并 在 发 现 新 的 地 址 时 向 VMPS 或 者 从 这 个 端口 


来 的 通信 。 如 果 交 换 机 从 VMPS 服务 器 接收 到 端口 关闭 响应 ， 将 会 立刻 关闭 端 F 


手工 重新 启用 。 
出 于 安全 的 原因 


， 用 户 可 以 配置 一 个 fallback VLAN 的 名 字 ， 如 果 配 置 连接 型 
EJE MAC 地 址 不 在 数据 库 中 ，VMPS 会 将 fallback VLAN 的 名 字 发 给 客户 端 。 如 


， 并 只 能 


网 络 上 并 
果 不 配置 


fallback VLAN, MAC 地 址 也 不 在 数据 库 中 ，VMPS 将 会 发 出 拒绝 响应 ， 如 果 VMPS 处 于 


安全 模式 ， 将 会 关闭 


用 户 还 可 以 在 VMPS 数据 库 中 显 式 地 添加 条 目 ， 拒 绝 待定 MAC 地 址 的 访问 
法 是 将 此 MAC 地 址 对 应 的 VLAN 名 字 指 定 为 关键 字 “-NONE-”。 这 样 ，VMPS 


拒绝 接 入 响应 或 关闭 
交换 机 上 的 动态 


提供 VLAN 分 配 后 才 会 转发 来 自 或 者 发 往 此 端口 的 通信 ，VMPS 客户 端 从 连接 到 动态 端 
分 组 中 获得 源 MAC， 并 尝试 通过 发 往 VMPS 服务 器 的 VQP 请 求 ， 在 


的 新 主机 发 送 的 首 个 
VMPS 数据 库 中 找 型 


Cisco Catalyst 2950 和 3550 允许 多 台 同 属于 一 个 VLAN 的 主机 连接 在 一 个 动态 端口 上 。 


端口 。 


端口 。 


。 有 具体 方 
就 会 发 出 


端口 仅 属于 一 个 VLAN， 当 链 路 启用 后 ， 交 换 机 只 能 在 VMPS 服务 器 


与 之 匹配 的 VLAN. 


如 果 活 动 主机 多 于 20 台 ，VMPS 将 把 接口 关闭 。 如 果 动 态 端口 上 的 连接 中 断 ， 端 
隔离 状态 并 且 不 属于 任何 一 个 VLAN。 对 连接 到 该 端口 的 任何 主机 ， 在 将 端口 分 


VLAN 之 前 ， 要 通过 
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5.2.2 ”配置 动态 VLAN 


将 VMPS 客户 配置 为 动态 时 ， 有 一 些 限制 。 在 为 动态 端口 指定 VLAN 成 员 身 份 时 采 
下 面 原则 。 

今 “ 将 端口 配置 为 动态 之 前 ， 必 须 先 配 置 VMPS。 
VMPS 客户 端 必须 与 VMPS 服务 器 处 于 同一 个 VTP 管理 域 中 。 
VMPS 客户 端 必须 与 VMPS 服务 器 同属 于 一 个 管理 VLAN 。 
如 果 将 端口 配置 为 动态 ， 会 自动 在 该 端口 启动 STP 的 PortFast 功能 。 
如 果 将 一 个 端口 由 静态 配置 为 同一 个 VLAN 中 的 动态 端口 ， 端 口 会 立即 连接 到 此 
VLAN 上 ， 直 到 VMPS 为 动态 端口 上 特定 的 主机 的 合法 性 检查 数据 库 。 
信 ”静态 端口 不 可 以 改变 为 动态 端口 。 
信 ”静态 的 Trunk 不 可 以 改变 为 动态 端口 。 
今 
+ 


EtherChannel 内 的 物理 端口 不 能 被 配置 为 动态 端口 。 
如 果 有 过 多 的 活动 主机 连接 到 端口 中 ，VMPS 会 关闭 动态 端口 。 


1. VMPS 数据 库 配置 文件 


VMPS 数据 库 配 置 文件 必须 放置 在 TFTP 服务 器 上 ，VMPS 数据 库 配置 文件 是 一 
ASCH 码 的 文本 文件 。 如 下 是 一 个 标准 的 VMPS 数据 库 配 置 文件 示例 。 


IVMPS File format, version 1.1 

! Always begin the configuration file with 
! the word "VMPS" 

! 

Ivmps domain «domain-name» 

! The VMPS domain must be defined. 
!vmps mode (open | secure} 

! The default mode is open. 

Ivmps fallback «vlan-name» 

Ivmps no-domain-req ( allow | deny ] 

l 

! The default value is allow. 

vmps domain cisco 

vmps mode secure 

vmps fallback default 

vmps no-domain-req deny 

上 

t 

IMAC Addresses 

1 

vmps-mac-addrs 

l 

address 5254.AB3B.FC20 vlan-name cisco 
address 000A.EB22.057F vlan-name cisco 
address 0010.7b7f.790e vlan-name aaa 
address fedc.ba98.7654 vlan-name --NONE-- 
address fedc.ba23.1245 vlan-name ccc 

t 

I!Port Groups 

H 


!Ivmps-port-group «group-name-» 
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! device «device-id» ( port <port-name> | all-ports } 
I 

vmps-port-group JAM 

device 192.168.10.199 port 2/1 

device 192.168.10.198 port Fa0/5 

device 192.168.10.198 port Fa0/6 
vmps-port-group "cisco" 

device 192.168.10.198 port Fa0/1 

device 192.168.10.198 port Fa0/2 

1 

1 

IVLAN groups 

1 

Ivmps-vlan-group «group-name- 

! vlan-name «vlan-name» 

1 

vmps-vlan-group Engineering 

vlan-name cisco 

vlan-name aaa 

! 

IVLAN port Policies 

! 

Ivmps-port-policies (vlan-name «vlan name» | vlan-group «group-name» } 
! { port-group «group-name» | device «device-id» port «port-name» } 
! 

vmps-port-policies vlan-group Engineering 
port-group JAM 

vmps-port-policies vlan-name bbb 

device 192.168.10.198 port Fa0/9 
vmps-port-policies vlan-name Purple 
device 192.168.10.198 port Fa0/10 
port-group "cisco" 


由 于 VMPS 解析 器 是 基于 行 的 ， 因 此 在 配置 VMPS 数据 库 时 ， 要 以 VMPS 开头 ， 防 止 
VMPS 服务 器 错误 地 读 取 其 他 类 型 的 配置 文件 。 


2. 将 交换 机 配置 成 VMPS 服务 器 


配置 完 VMPS 数据 库 后 ， 则 需要 配置 VMPS 服务 器 。 通常，VMPS 服务 器 仅 在 Catalyst 
5500/6500 等 高 端 交换 机 上 支持 ， 配 置 方式 如 下 。 


set vmps downloadmethod rcp | tftp [username] 
set vmps downloadserver ip addr [filename] 
set vmps state enable 


3. 在 Linux 操作 系统 中 配置 VMPS 服务 器 


当然 ， 中 小 企业 为 了 使 用 VMPS 购买 6500 系列 交换 机 是 不 值得 的 。 它 们 如 果 仅 需要 
VMPS 功能 , 可 以 使 用 基于 Linux 的 Open VMPSd 软件 。VMPSd 软件 安装 和 配置 方法 如 下 。 

(1) 访问 地 址 http://sourceforge.net/projects/vmps， 下 载 Open VMPSd。 

(2) 在 Linux 中 执行 tar-vzxf vmpsd-1.3.tar.gz 命令 解压 文件 。 

(3) 执行 ./configuae 命令 配置 编译 文件 。 

(4) 执行 Make 命令 编译 程序 。 

(5) 执行 Make install 命令 安装 Open VMPSd. 

(6) 根据 上 面 所 述 文 件 配 置 vmps 数据 库 文件 。 
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(7) 运行 vmpsd， 其 命令 是 : vmpsd - d - a ip-addr - 1 0x0004 - f vmps.db; 
(8) 如 果 需 要 启动 Linux 服务 器 时 ， 同 时 加 载 vmps， 可 以 在 /etc/rc.local 文件 中 加 入 
vmpsd 一 行 。 


4. 将 参与 动态 VLAN 的 交换 机 配置 成 VMPS 客户 端 


配置 完 VMPS 服务 器 后 ， 需 要 将 参与 动态 VLAN 的 交换 机 配置 成 VMPS 客户 端 ， 其 配 
置 过 程 大 致 如 下 。 
Q 在 全 局 配置 模式 下 ， 指 定 VMPS 主 服务 器 地 址 。 


Switch (config)#vmps server <ip 地 址 > primary 


© xx vMPS 备份 服务 器 地 址 ， 可 以 同时 定义 三 个 备份 服务 器 。 

Switch (config)#vmps server <ip 地 址 1> 

Switch(config)#vmps server <ip 地 址 2> 

Switch(config)#vmps server <ip 地 址 3> 
© 将 交换 机 端口 配置 为 动态 VLAN 模式 

Switch(config)#interface fa0/1 

Switch(config-if)# switchport mode access 

Switch (config-if)# switchport access vlan dynamic 
O 用 户 还 可 以 通过 下 述 命令 来 验证 VMPS 客户 端的 配置 。 

vmps reconfirm minutes 新 配置 时 间 间 隔 

vmps retry number-of-retries 次 数 

clear vmps server // 清 除 vmps 服 务 器 

clear vmps statistics // 清 除 vmps 统 计 

show vmps // 查 看 vmps 状 态 

至 此 ， 我 们 完成 了 VMPS 的 配置 ， 如 果 有 新 的 员工 加 入 公司 ， 则 只 需要 修改 VMPS 数 
据 库 即 可 完成 动态 分 配 任务 。 

四 点评 与 拓展 : 采用 如 上 配置 后 ， 则 可 以 将 Sadness 公司 的 网 络 按照 不 同 的 员工 和 
不 同 的 设备 划分 开 ， 因 此 数据 安全 更 能 得 到 保证 。 而且， 当 非 法 入 侵 者 将 自己 的 设备 接 入 
到 其 他 网 络 后 ， 网 络 端口 会 因为 非法 入 侵 而 自动 关闭 ， 获 得 了 较 好 的 安全 性 ， 并 且 将 入 侵 
者 的 MAC 地 址 记录 到 相应 的 数据 库 中 ， 完 成 攻击 者 查找 的 任务 。 


5.3 安全 的 VTP 协议 


应 用 实例 导航 : Sadness 公司 部 署 安全 的 VTP 


※ 场 景 呈现 


见 
使 用 动态 VLAN 的 方式 进行 VLAN 分 配 , 但 是 忽略 了 交换 机 之 间 的 链 路 防范 , 这 次 SC 
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将 魔掌 伸 向 了 交换 机 之 间 的 链 路 。 

为 了 方便 配置 VLAN, Sadness 公司 采用 了 VTP 协议 来 同步 VLAN 数据 库 ， 但 是 他 人 
并 没有 对 VTP 服务 进行 安全 防范 。 这 样 SC 可 以 将 自己 的 入 侵 设备 模拟 成 一 个 中 继 线 接 
来 和 交换 机 通信 ， 通 过 VTP 获得 VLAN 信息 ， 并 截取 相应 的 流量 ， 如 图 5-4 所 示 。 这 次 攻 
击 再 次 让 Sadness 公司 丢掉 一 笔 订 单 ， 带 来 了 极 大 的 经 济 损失 。 


技术 部 工程 部 。 工程 部 技术 部 “技术 部 工程 部 
Vian200 Vlan 100 Vian 100 Vlan200 Vian200 Vian 100 


图 5-4 SC 攻击 示意 图 


(1) VTP 工作 原理 ; 
(2) VTIP 的 安全 配置 方法 。 


5.9.1 VTP 概述 


VTP(VLAN Trunking Protocol, VLAN 中 继 协 议 ) 是 Cisco 设计 的 ， 用 于 通过 交换 机 网 络 
进行 VLAN 的 管理 和 配置 ， 并 维护 VLAN 配置 的 一 致 性 。VTP 协议 是 一 个 广播 VLAN 配 
置信 息 的 消息 系统 ， 可 把 VLAN 配置 信息 维持 在 一 个 管理 域 (VTP 域 ) 内 。VTP 协议 使 管理 
员 可 以 在 一 台 交 换 机 上 添加 、 删 除 或 者 修改 VLAN， 然 后 同步 到 其 他 所 有 的 交换 机 上 ， 从 
而 在 整个 网 络 上 维持 VLAN 配置 的 一 致 性 。 虽 然 VTP 的 方式 带 来 了 简便 的 配置 特性 , 但 是 
不 当 的 使 用 将 再 次 导致 安全 隐患 。 

1. VTP 工作 模式 

在 一 个 VTP 环境 里 ， 一 台 交 换 机 可 以 是 以 下 3 种 不 同 的 角色 ， 可 以 是 一 台 VTP 服务 
器 、 一 台 VTP 客户 机 或 者 工作 在 透明 模式 。 角 色 决 定 了 交换 机 在 VLAN 网 络 中 应 该 被 如 何 
配置 . 在 同一 个 本 地 网 络 可 以 有 多 个 VTP 域 , 每 个 VTP 域 的 客户 交换 机 从 该 域 的 VTP 服 
务 器 接收 自身 的 配置 信息 。 
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1) VTP 服务 器 模式 

VTP 服务 器 是 每 个 VTP 域 的 根本 。 服 务 器 是 VTP 域内 唯一 可 以 增加 、 删 除 、 重 命名 
VLAN 的 交换 机 。 当 一 台 未 经 配置 的 Cisco 交换 机 第 一 次 上 电 开 机 的 时 候 ， 它 的 默认 模式 是 
服务 器 模式 ， 用 户 必 须 把 它 修 改 成 客户 机 或 者 透明 模式 。 

VTP 服务 器 周期 性 地 广播 VTP 域名 、VLAN 配置 ， 提 供 现行 的 配置 版 本 号 。 这 个 配置 
版 本 号 修改 号 是 VTP 域 的 一 部 分 ， 它 确保 VTP 域内 的 所 有 交换 机 有 现行 的 、 正 确 的 VLAN 
配置 信息 。 

当 VLAN 在 VTP 服务 器 上 被 创建 的 时 候 ， 和 其 他 VLAN 配 置信 息 一 起 存储 在 服务 器 的 
NVRAM。 当 交换 机 重启 的 时 候 ， 配 置信 息 仍 被 保留 。 

2) VTP 客户 机 模式 

VTP 客户 交换 机 从 VTP 服务 器 接收 所 有 客户 交换 机 的 配置 信息 ,客户 交换 机 不 能 删除 、 
添加 、 重 命名 VLAN。 当 客户 交换 机 加 入 一 个 新 的 VLAN, VLAN 必须 被 添加 到 VTP 服务 
器 上 面 去 。 这 样 新 的 VLAN 才 能 传递 到 所 有 的 客户 交换 机 。 当 新 的 VLAN 增 加 后 ， 客 户 交 换 
机 上 的 端口 会 关联 到 新 的 VLAN。 

类 似 VTP 服务 器 ， 客 户 交换 机 在 NVRAM 存储 VLAN 配 置 。 然 而 ， 不 像 VTP 服务 器 ， 
当 客户 交换 机 重启 的 时 候 ， 所 有 的 VLAN 配 置信 息 丢 失 了 。 交 换 机 启动 完成 后 ， 需 要 发 送 一 
条 VTP 请 求 消息 给 VTP 服务 器 ， 来 获取 现行 的 VLAN 配 置 。 

3) ”VTP 透明 模式 

VTP 透明 交换 机 与 VTP 客户 交换 机 不 同 , VLAN 可 以 在 这 些 交换 机 上 手工 配置 VLAN. 
如 果 配 置 为 VTP 域 的 一 部 分 ， 它 们 可 以 从 VTP 服务 器 接收 VLAN 配 置信 息 。 然 而 ， 它 们 不 
会 通知 VTP 域 配 置 本 地 的 VLAN。 

在 VTP v2 中 ， 配 置 为 透明 模式 的 交换 机 将 在 Trunk 端口 上 转发 VTP 信息 以 保证 其 他 
交换 机 接收 到 更 新 信息 ， 但 这 些 交 换 机 将 不 修改 自己 的 数据 库 ， 也 不 发 送 指示 VLAN 状态 
发 生变 化 的 更 新 信息 。 在 VTP vl 中 ， 透 明 模式 的 交换 机 也 不 转发 VTP 信息 到 其 他 交换 机 。 
需要 注意 的 是 透明 模式 下 的 交换 机 可 以 在 本 地 创建 VLAN， 但 这 些 VLAN 的 变化 信息 不 会 
扩散 到 其 他 交换 机 。 

2. VTP 特点 

VTP 能 够 减少 在 配置 改变 时 可 能 引起 的 配置 不 一 致 问题 的 可 能 性 。 这 种 不 一 致 可 能 会 
引起 安全 问题 ,因为 VLAN 重 名 会 引起 交叉 连接 问题 。 如 果 由 一 种 LAN 类 型 映射 到 另 一 种 
类 型 ， 比 如 ATM LANE ELAN 或 者 FDDI 802.10 VLAN, 则 VLAN 内 部 可 能 根本 无 法 连通 。 
VTP 提供 一 种 映射 机 制 ， 支 持 部 署 在 混合 介质 的 网 络 中 进行 无 颖 的 中 继 链 路 。VTP 具有 如 

信 VLAN 配置 在 整个 网 络 中 不 变 。 

仿 “ 在 混合 介质 的 网 络 中 允许 一 个 VLAN 被 中 继 的 映射 机 制 。 

信 对 VLAN 的 精确 跟踪 和 监控 。 

* 全 网 范围 内 增加 VLAN 的 动态 报告 。 
4% 
x 


支持 添加 新 VLAN 的 即 插 即 用 配置 。 
然 ，VTP 也 有 一 些 缺 点 ， 通 常 与 STP 有关， 最 大 的 危险 在 于 桥接 环 路 会 跨越 整个 区 
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a 网 络 安全 大 全 S 
网 进行 传播 。 默 认 情 况 下 ，Cisco 交换 机 采用 PVST+ 的 生成 树 协议 ， 每 个 VLAN 维持 一 


个 Spanning Tree 实例 ， 而 VTP 又 在 整个 园区 LAN 上 传播 VLAN 信息 ，VTP 就 更 有 可 能 


生 


桥接 环 路 。 网 络 设计 者 和 管理 员 必 须 在 VTP 带 来 的 易于 管理 性 和 可 能 会 产生 的 不 稳定 的 


STP 域 这 两 者 间作 出 平衡 。 


5. 


3.2 配置 VTP 协议 


在 交换 机 上 创建 可 以 被 VTP 传播 出 去 的 VLAN 之 前 ， 先 要 建立 VTP 域 ， 网 络 的 一 个 


VTP 域 是 由 一 组 VTP 域名 字 相 同 并 通过 Trunk 链 路 相互 连接 的 交换 机 ， 并 且 在 同一 个 域 中 
所 有 交换 机 共享 VLAN 信息 ， 并 且 交 换 机 仅 能 加 入 到 唯一 一 个 VTP 管理 域 中 。 


名 、 


根据 交换 机 在 VTP 域 的 角色 ， 需 要 对 VTP 的 模式 进行 配置 。 配 置 内 容 包 括 : VTP 域 
VTP 模式 、VTP 版 本 号 、VTP BI, VTP 口令 和 VTP 陷阱 等 。 


1. 将 交换 机 配置 成 VTP 服务 器 
在 一 个 VTP 域 中 ， 将 一 台 交 换 机 配置 成 VTP 服务 器 模式 的 方法 如 下 。 


Q 在 一 个 已 经 建 好 的 VTP 域 中 加 入 一 台新 的 交换 机 时 ， 需 要 首先 删除 交换 机 上 vian.dat 和 


startup-config， 防 止 残留 VLAN 或 者 更 大 的 配置 版 本 号 带 来 的 问题 。 


Switch#delete vlan.dat 
Switch#erase startup-config 


© 确定 交换 机 的 VTP 工作 模式 为 Server 模式 ， 并 且 配 置 VTP 域名 。 


Switch#vlan database 
Switch(vlan)#vtp server 
Switch(vlan)#vtp domain cisco 


© 配置 vTP 版 本 号 ， 这 是 一 个 可 选 配 置 。VTP 有 1 和 2 两 个 版 本 ， 默 认 的 版 本 是 2。 需 要 注 


意 在 一 个 VIP 域 中 ， 所 有 交换 机 的 VTP 版 本 应 当 一 致 ， 否 则 会 出 现 问题 。 


Switch (vlan) #vtp version 2 


或 


Switch# vtp version 2 


Q 为 了 保证 VTP 的 安全 ， 可 以 在 整个 VTP 域 中 设置 一 个 管理 密码 ， 只 有 密码 正确 的 VTP 客 


户 端 才能 从 VTP 服务 器 获取 VTP 更新。 


Switch(vlan)#vtp password sandnesss 
或 


Switch#vtP password sandnesss 


© 配置 vTP dos. 由 于 主干 线路 承载 了 所 有 VLAN 的 流量 , 但 有 些 流量 可 能 不 必 广 播 到 无 需 


运载 它们 的 链 路 上 。VTP RÝ VLAN 通告 决定 什么 时 候 该 主干 连接 不 需要 泛 洪 式 的 传 
输 。 默 认 的 情况 下 ， 主 干 连接 运载 此 VTP 管理 域 中 的 所 有 VLAN 流量 ， 而 在 实际 工作 中 ， 
有 些 交换 机 不 必 将 本 地 端口 配置 到 每 个 VLAN 中 ， 这 样 启用 VIP 裁剪 就 成 为 必要 。 


Switch(vlan)#vtp pruning 
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或 
Switch#vtp pruning 
O 通过 如 下 命令 可 以 验证 VIP 配置 


Switch#show vtp status 


VTP Version :2 
Configuration Revision 3 
Maximum VLANs supported iocaily : 1005 
Number of existing VLANs £GH 

VTP Operating Mode : Server 
VTP Domain Name : cisco 
VTP Pruning Mode : Disabled 
VTP V2 Mode : Disabled 
VTP Traps Generation : Disabled 
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2. 将 交换 机 配置 成 VTP 客户 机 
在 一 个 VTP 域 中 ， 将 其 他 交换 机 配置 成 VTP 客户 机 的 方法 如 下 。 

© 确定 交换 机 的 VTP 工作 模式 为 Client 模式 ， 并 且 配置 与 VTP 服务 器 一 致 的 VTP 域名 。 
Switch#vlan database 


Switch (vlan) #vtp Client 
Switch (vlan) #vtp domain cisco 


© 配置 与 vTP 服务 器 一 致 的 VTP 版 本 号 .如 果 VTP 域 采 用 版 本 2， 可 不 配置 。 


Switch(vlan)ivtp version 2 


或 
Switch# vtp version 2 


© 配置 与 vVTP 服务 器 一 致 的 管理 密码 ， 只 有 密码 正确 才能 从 VIP 服务 器 获取 VIP 更 新 


Switch(vlan)ivtp password sandnesss 


或 


Switch#vtP password sandnesss 


o 通过 show vtp status 命令 验证 VTP 配置 。 


5.4 安全 的 STP 协议 


应 用 实例 导航 : Sadness 公司 部 署 安全 的 STP 


※ 场 景 呈现 
STP 虽然 可 以 自动 避免 网 络 环 路 ， 但 是 其 工作 方式 如 果 配 置 不 当 被 黑客 利用 将 会 导 


全 网 中 断 。SC 对 Sadness 的 攻击 不 仅 是 在 VTP 协议 上 ， 还 利用 了 生成 树 协议 的 漏洞 来 进行 


攻击 。 攻 击 者 在 交换 机 之 间 的 链 路 上 ， 通 过 发 送 虚 假 的 STP 消息 ， 从 而 抢占 STP 的 管理 
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限 ， 使 网 络 不 停 地 中 断 ， 如 图 5-5 所 示 。 


技术 部 工程 部 THE 技术 部 BRM TAM 
Van200 Vian100 Van100 。 Van200 Van200 Vian 100 
图 5-5 SC 攻击 示意 图 


(1) STP 的 工作 原理 ; 
(2) STP 的 保护 方法 。 


5.4.1 STP 协议 概述 


STP(Spanning Tree Protocol, 生成 树 协议 ) 是 一 种 二 层 管理 协议 , 它 通过 有 选择 性 地 阻塞 
网 络 元 余 链 路 来 达到 消除 网 络 二 层 环 路 的 目的 ， 同 时 有 具备 链 路 的 备份 功能 。 由 于 生成 树 协 
议 本 身 比 较 小 ， 所 以 并 不 像 路 由 协议 那样 广为人知 ， 但 是 它 却 掌管 着 端口 的 转发 大 权 一 一 
“小 树枝 拌 一 拌 ， 上 层 协 议 就 得 另 谋生 路 ” 真实 情况 也 确实 如 此 ， 特 别 是 在 与 别 的 协议 一 
起 运行 的 时 候 ， 生 成 树 协 议 就 有 可 能 中 断 其 他 协议 的 报 文通 路 ， 造 成 种 种 奇怪 的 现象 。 
如 图 5-5 所 示 的 这 样 一 个 高 元 余 度 的 网 络 ， 如 果 没 有 STP 的 存在 ， 将 会 产生 大 量 的 广 
播 环 路 ， 严 重 影 响 性 能 。 生 成 树 协 议 与 其 他 协议 一 样 ， 是 随 着 网 络 的 不 断 发 展 而 不 断 更 新 
换代 的 。 在 生成 树 协议 的 发 展 过 程 中 ， 旧 的 缺陷 不 断 被 克服 ， 新 的 特性 不 断 被 开发 出 来 。 
STP 算法 主要 依靠 BID( 网 桥 ID)、 路 径 开销 和 端口 ID。 在 创建 一 个 无 环 路 的 拓扑 时 ， 
STP 执行 如 下 4 个 步骤 。 
(1) 选取 根 交换 机 。 
(2) 计算 到 根 交换 机 的 最 小 路 径 开 销 。 
(3) 确定 最 小 发 送 者 BID 。 
(4) 确定 最 小 的 端口 ID。 
为 了 作出 最 佳 判决 ，STP 需要 保证 所 有 参与 的 网 桥 都 获得 正确 的 信息 ， 网 桥 间 的 信息 
采用 网 桥 协议 数据 单元 (Bridge Protocol Data Unit，BPDU) 的 基于 2 层 的 帧 来 传递 STP 
信息。 网 桥 通过 以 上 4 步 来 选择 每 个 端口 上 所 看 到 的 “最 佳 ”BPDU 。 当 一 个 网 桥 被 激活 后 ， 
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其 所 有 的 端口 每 隔 2s( 默 认 Hello 时 间 ) 发 送 一 次 BPDU 报 文 。 如 果 收 到 其 他 端口 比 自己 更 
好 的 BPDU， 则 本 地 端口 停止 发 送 BPDU。 如 果 20s( 默 认 最 大 时 间 ) 的 时 间 没 有 从 邻居 收 到 
更 好 的 BPDU， 则 本 地 端口 将 重新 发 送 BPDU。 最 大 生存 时 间 是 最 佳 BPDU 超时 的 时 间 。 


5.4.2 配置 STP 协议 


在 实际 网 络 环境 中 ,经 常 有 些 用 户 有 意 或 无 意 将 未 经 允许 的 交换 设备 串 接 至 用 户 端口 ， 
新 增 交 换 机 的 BPDU 信息 可 能 会 导致 整个 网 络 第 二 层 网 络 逻辑 拓扑 结构 变化 ， 引 起 网 络 架 
构 震 荡 ， 更 为 严重 的 是 ， 黑 客 可 能 假冒 第 二 层 SPT 信息 包 冲 击 甚至 改变 整个 网 络 二 层 结构 ， 
夺取 网 络 SPT 中 Root 的 位 置 ， 使 得 网 络 无 法 正常 工作 。 

在 STP 的 实现 过 程 中 ， 可 以 采用 多 种 措施 来 防止 攻击 。 


1. PortFast 


STP PortFast 是 Cisco Catalyst 系列 交换 机 的 一 个 重要 特性 , 能 使 交换 机 或 中 继 端 口 跳 过 
侦 听 学 习 状态 ， 立 即 进入 STP 转发 状态 。 在 基于 IOS 的 交换 机 上 ，PortFast 只 能 用 于 连接 到 
终端 工作 站 的 接 入 端口 上 。 

当 一 个 设备 连接 到 一 个 端口 上 时 ， 端 口 通常 进入 侦 听 状态 。 当 转发 延迟 定时 器 超时 后 ， 
进入 学 习 状态 ， 当 转发 延迟 定时 器 第 二 次 超时 ， 端 口 进入 转发 或 者 阻塞 状态 ， 当 一 个 交换 
机 或 中 继 端 口 启 用 PortFast 后 ， 端 口 立即 进入 转发 状态 ， 但 交换 机 检测 到 链 路 ， 端 口 就 进入 
转发 状态 ( 插 电 缆 后 的 2s); 如 果 端 口 检测 到 一 个 环 路 同时 又 启用 了 PortFast 功能 ， 它 就 进入 
阻塞 状态 。 需 要 注意 的 是 ，PortFast 值 在 端口 初始 化 的 时 候 才 生效 ， 如 果 端 口 由 于 某 种 原因 
又 被 迫 进入 阻塞 状态 ， 随 后 又 需要 回 到 转发 状态 ， 仍 然 要 经 过 正常 的 侦 听 和 学 习 过 程 。 

启用 PortFast 的 主要 原因 是 防止 启动 周期 小 于 30s 的 PC 需要 和 交换 机 端口 从 未 连接 状 
态 进 入 到 转发 状态 , 一 些 网 卡 直到 MAC 层 软件 驱动 被 实际 加 载 之 后 才 会 启动 链 路 。 这 种 情 
况 下 就 会 导致 一 些 故障 ， 例 如 DHCP( 动 态 主机 配置 协议 ) 环 境 下 ， 这 可 能 会 出 现 一 些 问 题 。 

将 一 个 交换 机 的 端口 配置 成 PortFast 的 方法 如 下 。 


Switch (config-if)#spanning-tree portfast 


2. UplinkFast 


在 STP 收敛 过 程 中 ， 一 些 终端 站 点 可 能 会 不 可 达 ， 这 主要 取决 于 站 点 所 连接 交换 机 端 
内 STP 状态 而 定 。 这 时 会 打 乱 网 络 连接 ， 关 键 是 减少 STP 的 收敛 时 间 和 网 络 受 影响 的 
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当 链 路 或 交换 机 发 生 故 障 ， 或 STP 重新 配置 后 ，UplinkFast 可 以 快速 选择 一 个 新 的 根 
端口 。 根 端口 立即 进入 转发 状态 ，UplinkFast 通过 减少 最 大 更 新 速率 来 限制 突 发 流量 ， 定 义 
更 新 分 组 发 送 的 最 大 速率 ， 默 认为 150 分 组 /分 钟 。 

UplinkFast 对 于 网 络 边 缘 布 线 间 的 交换 机 非常 有 用 ， 它 不 适用 于 骨干 设备 。UplinkFast 
在 直 连 链 路 发 生 故障 后 提供 快速 的 收敛 能 力 ， 并 通过 上 行 链 路 组 在 匈 余 。 

如 图 5-5 所 示 ，A 和 根 交换 机 相连 的 端口 为 转发 状态 ， 另 一 个 为 阻塞 状态 。 当 到 根 交 换 
机 的 上 行 链 路 断 开 后 ， 如 果 配 置 了 UplinkFast， 到 另 一 台 上 层 交 换 机 的 链 路 将 直接 转 入 转发 
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状态 。 受 UplinkFast 的 影响 ， 这 个 变化 将 花费 1 一 5s。 一 点 交换 机 将 以 个 备用 端口 转 为 转发 
状态 , 交换 机 开始 在 该 端口 发 送 伪 多 播 帧 , 本 地 桥接 标 中 每 个 表 项 都 对 应 一 个 伪 多 播 帧 。 它 
适用 工作 站 地 址 作为 源 地 址 ， 01-00-0C-CD-CD-CD 作为 目的 地 址 。 

如 果 原 来 的 交换 机 恢复 连接 ， 交 换 机 在 等 待 2 倍 转发 延迟 时 间 再 加 上 5s 后 才 将 该 端 
转 入 转发 状态 。 这 使 得 邻接 端口 有 时 间 经 过 侦 听 和 学 习 状 态 转 入 转发 状态 。 

配置 方法 如 下 。 


Switch (config)#interface FastEthernet 0/3 

Switch (config-if)#spanning-tree uplinkfast 

Switch (config-if)#exit 

Switch (config) # [no] spanning-tree uplinkfast [max-update-rate 
max update rate] 

Switch#show spanning-tree uplinkfast 


3. BackboneFast 


BackboneFast 是 Catalyst 交换 机 在 根 端口 或 阻塞 端口 从 指定 网 桥 收 到 一 个 劣质 的 BPDU 

时 会 启动 的 一 种 特性 。 当 一 个 交换 机 收 到 一 个 劣质 BPDU, 就 以 为 该 交换 机 的 一 个 非 直接 链 

路 出 现 故障 。 也 就 是 说 ， 一 个 指定 网 桥 已 经 丢失 到 根 交 换 机 的 连接 。 按 照 STP 规则 ， 因 为 

所 有 配置 的 最 大 生存 时 间 ， 交 换 机 会 忽略 所 有 劣质 的 BPDU 。 

为 了 减少 这 20s 的 时 间 ， 设 计 了 BackboneFast 特性 。 当 一 个 交换 机 收 到 劣质 BPDU 的 

时 候 ， 交 换 机 试图 判断 是 否 有 一 条 备用 路 径 到 根 交 换 机 。 有 以 下 两 种 情况 。 

v WRZE BPDU 到 达 一 个 阻塞 端口 ， 则 交换 机 上 的 根 端口 和 其 他 阻塞 端口 成 为 到 

根 交换 机 的 备 选 路 径 。 

今 “ 如 果 劣 质 BPDU 到 达 根 端口 ， 所 有 的 阻塞 端口 都 会 成 为 到 根 交 换 机 的 潜在 备用 。 

如 果 劣 质 BPDU 到 达 根 端口 ， 而 且 没 有 阻塞 端口 ， 交 换 机 将 自己 定义 为 根 交换 机 。 如 

果 交 换 机 存在 备用 路 径 ， 它 使 用 备用 路 径 传送 一 种 新 的 协议 ， 通 常情 况 下 该 模式 会 节约 20s 

的 时 间 。 

如 图 5-6 所 示 ， 当 LI1 Down 时 ， 交 换 机 B 会 发 送 一 个 劣 等 BPDU， 告 诉 交换 机 C， 交 

换 机 B 是 Root， 交 换 机 C 经 过 和 交换 机 A 沟通 (使 用 Root Link Query BPDU AH), ZKH 

A 告诉 交换 机 C， 交 换 机 A 还 活着 昵 。 然 后 交换 机 C 告诉 交换 机 B， 交 换 机 A 还 活着 ， 它 
还 是 Root。 


5-6 Backbone Fast 


配置 BackboneFast 的 方法 如 下 。 


Switch (config)#interface FastEthernet 0/3 
Switch (config-if)#spanning-tree backbonefast 
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4. BPDU 保护 


BPDU 保护 仅 用 在 PortFast 模式 。 它 被 网 络 设计 者 用 来 加 强 STP 域 边界 ， 从 而 保持 与 
其 的 活动 拓扑 。 在 启用 STP PortFast 端口 之 后 的 设备 被 禁止 影响 STP 拓扑 。 通过 配置 BPDU 
保护 后 ， 端 口 如 果 收 到 BPDU 将 会 把 端口 状态 调整 到 Err-Disable。 如 下 是 一 个 出 错 信息 。 


2000 May 12 15:13:32 $SPANTREE-2-RX PORTFAST:Received BPDU on PortFast 
enable port. Disabling 2/1 
2000 May 12 15:13:32 $PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1 


如 图 5-7(a) 所 示 ， 交 换 机 A 的 优先 级 为 10， 是 该 VLAN 的 根 桥 ， 交 换 机 B 的 优先 级 为 
20， 为 备份 根 桥 ，B 和 A 之 间 的 链 路 为 Gbp/s 链 路 ， 是 正确 的 BPDU 流向 。 


Switch B. Switch B. 


Even Switch A 


Switch C Switch C 


Switch D Switch D 
(a) (b) 
Æ 5-7 BPDU 保护 

如 果 交 换 机 D 为 一 台 基 于 Linux 的 软件 网 桥 ， 可 以 发 送 BPDU 报 文 ， 并 将 自身 BID 的 
优先 级 设置 为 0， 此 时 ， 交 换 机 D 将 成 为 根 桥 ， 故 BPDU 流向 变 为 (b) 图 ， 交 换 机 A. ani 
机 B 间 的 Gbp/s 链 路 被 阻塞 ， 通 过 交换 机 C 走 100Mbp/s 链 路 。 此 时 会 超 负载 出 现 丢 包 的 情 
况 ，BPDU 保护 的 目的 就 是 基于 这 种 情况 ， 防 止 接 入 设备 对 整个 网 络 拓扑 的 影响 。 

实施 BPDU 保护 的 配置 方式 : 


Switch(config)#spanning-tree portfast bpduguard default // 全 局 启用 BPDU 保 护 
Switch (Config)#interface FastEthernet 0/3 
Switch(config-if)isspanning-tree bpduguard enable // 在 接口 上 启用 
PortFast 


四 点 评 与 拓展 : 在 全 局 模式 配置 了 PortFast， 默 认 打 开 BPDU 保护 ， 需 要 在 相应 的 
接口 上 打开 PortFast 才能 启用 。 


5. 根 保护 


传统 的 802.1D STP 没有 给 网 络 管理 员 提 供 交 换 式 第 2 层 网 络 拓扑 安全 。 当 新 接 入 的 交 
换 机 优先 级 更 低 ， 将 抢占 原 有 的 根 网 桥 。 
根 保护 的 目的 是 确保 启用 了 根 保护 的 端口 成 为 指定 端口 。 通 常 一 个 根 网 桥 的 所 有 端 
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均 为 指定 端口 ， 除 非 连接 到 两 个 或 多 个 根 网 桥 的 端口 。 如 果 网 桥 在 启用 根 保 护 的 端口 上 收 
到 一 个 较 好 的 STP BPDU。 这 个 端口 进入 STP 的 根 不 一 致 状态 ， 不 会 有 流量 通过 该 端口 。 

如 图 5-8 所 示 ， 交 换 机 A 和 交换 机 B 为 分 布 层 交 换 机 ， 交 换 机 C 为 接 入 层 交 换 机 ， 根 
为 交换 机 A。 当 在 交换 机 C 下 面 再 接 一 台 交 换 机 时 ， 由 于 交换 机 D 的 优先 级 或 MAC 地 址 
可 能 比 其 他 要 低 ， 可 能 会 使 交换 机 D 成 为 根 交换 机 ， 从 而 使 得 从 交换 机 A 到 达 交 换 机 B 的 
流量 不 能 直接 发 送 到 交换 机 B， 而 得 使 用 交换 机 C 来 转发 ， 这 样 很 不 合理 (交换 机 A 和 交换 
机 B 之 间 为 千 兆 )。 为 了 避免 这 种 情况 ， 可 以 在 交换 机 C 的 下 联 端口 上 使 用 根 保 护 ， 以 防止 
该 端口 成 为 根 端口 ， 从 而 防止 交换 机 D 成 为 根 交 换 机 ， 确 保 交 换 机 A 永远 为 根 交换 机 。 使 
用 根 保护 后 ， 当 交换 机 D 接 入 网 络 后 , 交换 机 C 的 下 联 交 换 机 D 的 端口 会 收 到 一 个 更 新 的 
BPDU( 前 提 是 交换 机 D 的 优先 级 最 高 )， 交 换 机 C 将 该 端口 转 为 阻塞 状态 ， 直 到 交换 机 D 
不 再 发 送 新 的 BPDU 或 更 改 交 换 机 D 的 优先 级 。 


Switch B Switch B. 
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Switch A 


Switch C Switch C 


新 的 根 
Switeh D Switch D 


(a) (b) 
Æ 5-8 根 保护 
当 一 个 根 保护 端口 阻塞 一 个 端口 时 ， 控 制 台 将 会 显示 如 下 消息 。 


$SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 
77. Moved to root-inconsistent state 


配置 根 保护 端口 的 方法 如 下 。 
O 在 全 局 模式 下 ， 启 用 根 保护 功能 . 

Switch (config-if)#spanning-tree bpduguard enable 
© 在 需要 启用 根 保护 功能 的 端口 上 ， 使 用 如 下 命令 。 

Switch (config-if)#spanning-tree guard root 
© 用 户 可 以 通过 如 下 命令 显示 端口 不 一 致 状态 ( 即 为 Block 的 端口) 

Switch#show spanning-tree inconsistentports 

四 点评 与 拓展 : BPDU Guard 技术 在 交换 机 端口 上 启用 后 ， 一 旦 收 到 其 他 交换 机 的 
BPDU 信息 ， 此 端口 立刻 防止 接口 连 入 交换 机 ， 而 且 必 须 由 网 络 管理 员 手 工 恢复 。 根 保护 技 
术 则 是 在 DP 端口 上 实现 后 ， 该 端口 就 不 会 改变 ， 只 会 是 DP 了， 这 样 可 以 防止 新 加 入 的 交 
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换 机 成 为 根 ， 该 端口 就 变 成 了 永久 的 DP T. 若 新 加 入 的 交换 机 想 成 为 根 ， 则 它 的 端口 将 不 


能 工作 ， 直 到 这 个 新 交换 机 委 曲 求全 做 RP 为 止 。 这 两 个 简单 的 二 层 SPT 保护 功能 ， 完 全 
防范 了 不 明 交 换 设 备 的 “非法 ” 接 入 ， 保 证 了 整个 网 络 交换 架构 的 稳定 可 靠 ， 是 网 络 自身 
安全 的 重要 保护 手段 。 


5.5 PVLAN 


应 用 实例 导航 : X UT 大 学 的 IDC 配置 PVLAN 


AGAR EEG 


UT 大 学 的 数据 中 心 IDC) 为 学 校 的 众多 单位 提供 主机 托管 业务 ， 构 成 了 一 个 多 客户 的 
服务 器 群 结构 ， 每 个 托管 客户 从 一 个 公共 数据 中 心 的 一 系列 服务 器 上 提供 Web 服务 。 在 这 
个 应 用 中 ， 数 据 流量 的 流向 几乎 都 是 在 服务 器 与 客户 之 间 ， 而 服务 器 间 的 横向 的 通信 几乎 
没有 ; 相反， 属于 不 同 客户 的 服务 器 之 间 的 安全 就 显得 至 关 重 要 。 为 了 保证 托管 客户 之 间 
的 安全 ， 防 止 任何 恶意 的 行为 和 Ethernet 的 信息 探听 ， 需 要 将 每 个 客户 从 第 二 层 进 行 隔离 。 
原先 ， 该 IDC 采用 的 方法 是 ， 使 用 VLAN 技术 给 每 个 客户 分 配 一 个 VLAN 和 相关 的 IP F 
网 。 随 着 托管 主机 的 增加 ， 这 种 分 配给 每 个 客户 单一 VLAN 和 IP 子 网 的 模型 造成 了 巨大 的 
扩展 方面 的 局 限 。 

为 了 解决 上 述 问题 ， 该 IDC 新 购 进 了 一 台 支 持 PVLAN 的 交换 机 Cisco 3560， 通 过 
PVLAN 机 制 将 这 些 服 务 器 划分 到 同一 个 IP 子 网 中 ， 但 服务 器 只 能 与 自己 的 默认 网 关 通 信 。 


※ 技 术 要 领 


(1) PVLAN 的 基本 概念 
(2) 配置 PVLAN。 


5.5.1 PVLAN 概述 


随 着 网 络 的 迅速 发 展 ， 用 户 对 于 网 络 数据 通信 的 安全 性 提出 了 更 高 的 要 求 ， 诸 如 防范 
黑客 攻击 、 控 制 病毒 传播 等 ， 都 要 求 保证 网 络 用 户 通 信 的 相对 安全 性 。 传 统 的 解决 方法 是 
给 每 个 客户 分 配 一 个 VLAN 和 相关 的 IP 子 网 , 通过 使 用 VLAN, 每 个 客户 从 第 2 层 被 隔离 
JF. 可 以 防止 任何 恶意 的 行为 和 Ethernet 的 信息 探听 。 然 而 ,这 种 分 配 每 个 客户 单一 VLAN 
和 了 王子 网 的 模型 造成 了 巨大 的 可 扩展 方面 的 局 限 。 这 些 局 限 主 要 有 下 述 几 方面 。 

VLAN 的 限制 :交换 机 固有 的 VLAN 数目 的 限制 。 

复杂 的 STP: 对 于 每 个 VLAN， 每 个 相关 的 Spanning Tree 的 拓扑 都 需要 管理 。 
IP 地 址 的 紧缺 ，IP 子 网 的 划分 势必 造成 一 些 IP 地 址 的 浪费 。 

路 由 的 限制 : 每 个 子 网 都 需要 相应 的 默认 网 关 的 配置 。 


信人 人 人 
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从 安全 上 考虑 ， 现 在 有 了 一 种 新 的 VLAN 机 制 ， 所 有 服务 器 在 同一 个 子 网 中 ， 但 服务 
器 只 能 与 自己 的 默认 网 关 通 信 ， 这 一 新 的 VLAN 特性 就 是 专用 VLAN(Private VLAN, 
PVLAN)。 


1. PVLAN 的 端口 类 型 


在 PVLAN 的 概念 中 , 交换 机 端口 有 隔离 端口 [solated Port)、 团体 端口 (Community Port) 
和 混杂 端口 Promiscuous Port)3 种 类 型 。 

今 “ 隔 离 端口 : 这 种 类 型 的 端口 彼此 之 间 不 能 交换 数据 ， 只 能 与 混杂 端口 通信 ， 一 般 
用 作用 户 的 接 入 端口 。 

信 ”团体 端口 ， 这 种 类 型 的 端口 之 间 可 以 互相 通信 ， 也 可 以 与 混杂 端口 通信 ， 主 要 应 
用 在 同一 PVLAN 中 ， 给 那些 需要 互相 通信 的 一 组 用 户 使 用 。 

分 ”混杂 端口 : 这 种 类 型 的 端口 可 以 与 同一 PVLAN 里 面 的 所 有 端口 互相 通信 , 通常 与 
站 层 交 换 机 相连 接 的 端口 都 要 配置 成 混杂 端口 ， 它 收 到 的 流量 可 以 发 
往 隔 离 和 iie 口 。 


2. PVLAN 类 型 


PVLAN 有 3 种 类 型 : X VLAN(Primary VLAN)、 隔 离 VLAN(Isolated VLAN) 和 团体 
VLAN(Community VLAN)。 隔 离 端 口 属于 隔离 VLAN(Isolated PVLAN)， 团 体 端口 属于 团体 
VLAN(Community VLAN)， 而 主 VLAN 代表 一 个 PVLAN 整体 。 

隔离 VLAN 和 团体 VLAN 都 属于 辅助 VLAN(Secondary VLAN)， 它 们 之 间 的 区 别 是 : 
同属 于 一 个 隔离 VLAN 的 主机 不 可 以 互相 通信 ， 同属 于 一 个 团体 VLAN 的 主机 可 以 互相 通 
信 ， 但 它们 都 可 以 和 与 之 所 关联 的 主 VLAN 通信 。 

PVLAN 的 应 用 对 于 保证 接 入 网 络 的 数据 通信 的 安全 性 是 非常 有 效 的, 用 户 只 需 与 自己 
的 默认 网 关连 接 ， 一 个 PVLAN 不 需要 多 个 VLAN 和 IP 子 网 就 提供 了 具备 第 二 层 数据 通信 
安全 性 的 连接 ， 所 有 的 用 户 都 接 入 PVLAN， 从 而 实现 了 所 有 用 户 与 默认 网 关 的 连接 ， 而 与 
PVLAN 内 的 其 他 用 户 没有 任何 访问 。PVLAN 功能 可 以 保证 同一 个 VLAN 中 的 各 个 端口 相 
互 之 间 不 能 通信 ， 但 可 以 穿 过 Trunk 端口 。 这 样 即 使 同一 VLAN 中 的 用 户 ， 相 互 之 间 也 不 
会 受到 广播 的 影响 。 最 近 流 行 的 ARP 欺骗 病毒 ， 便 可 以 通过 这 种 方法 进行 隔离 。 例如 ， 某 
个 VLAN 内 发 现 ARP 病毒 后 ， 将 VLAN 配置 成 为 一 个 隔离 VLAN Ji. ARP 广播 报 文 仅 会 
传 向 混杂 端口 ， 而 不 会 广播 到 整个 VLAN 中 。 


5.5.2 配置 PVLAN 


在 配置 PVLAN 时 ， 通 常 的 原则 如 下 。 

把 需要 第 2 层 隔 离 的 主机 放 到 同一 个 隔离 VLAN 或 者 不 同 的 团体 VLAN 中 。 
把 需要 第 2 层 通信 的 主机 放 到 同一 个 团体 VLAN 中 。 

把 公共 的 服务 器 或 者 上 联 端口 放 到 主 VLAN 中 (即将 端口 设置 为 混杂 端口 )。 
网 关 可 以 是 主 VLAN 上 配 一 个 3 层 地 址 或 者 在 主 VLAN 上 连 一 个 路 由 器 。 

交换 机 的 上 联 端口 也 可 以 是 Trunk， 主 VLAN 和 辅助 VLAN 都 可 以 通过 Trunk 
链 路 。 


信人 信人 信人 
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在 很 多 Cisco 低 端 交换 机 上 仅 支 持 隔离 端口 特性 ,在 高 端的 6500/4500 上 可 以 支持 完整 


的 PVLAN 属性 。 下 面 是 PVLAN 的 配置 过 程 。 


如 果 需 要 交换 机 支持 PVLAN 机 制 ， 首 先 需要 将 交换 机 的 VTP 模式 修改 为 透明 模式 。 


Switch# vlan database 
Switch (vlan)#vtP mode transparent 
Switch (vlan) #exit 


创建 主 VLAN 和 辅助 VLAN。 


Switch (config)#vlan 900 # 创 建 主 VLAN 
Switch(config-vlan)# private-vlan primary 
Switch(config-vlan)# vlan 901 # 创 建 隔离 VLAN 
Switch(config-vlan)# private-vlan isolated 
Switch(config-vlan)# vlan 902 # 创 建 团体 VLAN 


Switch (config-vlan)# private-vlan community 
Switch (config-vlan) #exit 


EÈ VLAN 中 ， 关 联 辅助 VLAN。 注 意 ， 一 个 主 VLAN 只 可 以 关联 一 个 隔离 VLAN 和 多 
个 团体 VLAN. 


Switch (config)#vlan 900 
Switch (config-vlan)#private-vlan association 901 , 902 


如 果 要 取消 关联 或 者 继续 关联 其 他 辅助 VLAN， 可 以 使 用 如 下 命令 。 


Switch(config-vlan)#private-vlan association (add | remove) aux2-vlan 


将 需要 隔离 的 端口 加 入 隔离 VLAN 或 团体 VLAN 中 。 


Switch (config)#interface vlan primary-vlan-id 
Switch(config-if)sprivate-vlan mapping aux-vlan , aux1-vlan 
Switch(config-if)Hprivate-vlan mapping (add | remove] aux2-vlan 
Switch(config)#interface GigabitEthernet 0/11 # 将 G0/11 设 置 为 隔离 端口 
Switch(config-if)# switchport 

Switch (config-if)#switchport private-vlan host-association 900 901 
Switch(config-if)Ssswitchport mode private-vlan host 
Switch(config-if)sinterface GigabitEthernet 0/12 # 将 G0/12 设 置 为 团体 端口 
Switch(config-if)# switchport 

Switch(config-if)# switchport private-vlan host-association 900 902 
Switch (config-if)# switchport mode private-vlan host 


同时 将 交换 机 的 上 联 端口 、 连 接 路 由 器 端口 、 连 接 公共 服务 器 端口 的 类 型 配置 为 混杂 端口 。 


Switch (config)#interface GigabitEthernet 0/24 

Switch (config-if)# switchport 

Switch (config-if)# switchport private-vlan mapping 900 901,902 
Switch (config-if)# switchport mode private-vlan promiscuous 


保存 配置 和 验证 配置 。 


Switch (config-if)#end 
Switch#copy run start 
Switch#show interface Gi4/14 switchport 


后 点 评 与 拓展 : 在 配置 PVLAN 端口 中 ， 如 果 配 置 了 switchport access vlan xxx, 


应 


一 句 已 经 不 起 作用 了 ， 起 作用 的 是 switchport private-vlan mapping XXX XXX,XXX. 
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5.6 ”防范 其 他 常见 


2 层 攻 击 


5.6(1 防范 MAC 泛 洪 攻 击 
应 用 实例 导航 : Sadness 公司 防范 MAC 泛 洪 攻击 
※ 场 景 呈现 
SC 最 终 因 为 多 次 攻击 而 被 Sadness 公司 的 安全 部 门 发 现 ， 并 将 其 解聘 。SC 为 了 报复 
Sadness 公司 ， 又 开始 了 新 一 轮 的 入 侵 。 这 次 ，SC 采用 一 个 名 为 Macof 的 攻击 软件 ， 下 面 
所 示 是 攻击 过 程 。 
macof -i ethl 


36:a1:48:63:81:70 15:26:8d:4d:28:£8 0.0.0.0.26413 > 0.0.0.0.49492: S 
1094191437:1094191437 (0) win 512 

16:e8:8:0:4d:9c  da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S 
446486755:446486755(0) win 512 

18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 >  0.0.0.0.6728: S 
105051945:105051945(0) win 512 

e7:5c:97:42:ec:1  83:73:1a:32:20:93  0.0.0.0.45282 >  0.0.0.0.24898: S 
1838062028:1838062028(0) win 512 

62:69:d3:1c:79:8f£ 60:13:35:4:cb:4d0 0.0:0:0.11587 > 0.0.0.0.7723: S 
1792413296 :1792413296 (0) win 512 

€5:a:b7:3e:3c:7a  3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S 
1018924173 :1018924173 (0) win 512 

88:43:ee:51:c7:68 ba4a:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S 
727776406:727776406(0) win 512 

b8:7a:7a:2d:2c:ae  c2:fa:2d:7d:e7:bf  0.0.0.0.32650 > .0.0.0.0.11324: S 
605528173:605528173(0) win 512 

e0:d8:1e:74:1:e  À57:98:b6:5a:fa:de  À 0.0.0.0.36346 >  0.0.0.0.55700: S 
2128143986:2128143986(0) win 512 

不 到 5 分 钟 ， 交 换 机 的 CAM 表 就 被 填 满 ， 开 始 广播 数据 ，SC 继续 开始 监听 网 络 中 各 


种 具有 极 大 商业 价值 的 机 密 。 
(1) MAC 泛 洪 了 
(2) 防范 MAC 泛 洪 攻 了 


CERF; 
后 的 配置 方法 。 


交换 机 主动 学 习 客 户 端的 MAC 地 址 ， 并 建立 


交换 路 径 ， 这 个 表 就 是 通常 我 们 所 说 的 CAM dé. 
CAM 表 大 小 不 同 。 


MAC/CAM Jil 


击 就 是 利用 工具 (如 


[| macof)/ 3X ; 


Ej MAC 地 址 的 对 应 表 以 建立 
的 大 小 是 固定 的 ， 不 同 交 换 机 的 


和 维护 端 
CAM 表 


NE 


Bp 


有 随机 源 MAC 地 址 的 数据 包 ， 这 


些 新 MAC 地 址 被 交换 机 CAM 学 习 ， 很 快 塞 满 MAC 地 址 表 ， 这 时 新 目的 MAC 地 址 的 数 
据 包 就 会 广播 到 交换 机 所 有 端口 。 当 交换 机 的 CAM 表 被 填 满 , 就 开始 利用 广播 方式 传递 数 
据 ， 这 时 交换 机 就 像 共 享 HUB 一 样 工作 ， 黑 客 便 可 以 用 sniffer 工具 监听 所 有 端口 的 流量 。 
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此 类 攻击 不 仅 造成 安全 性 的 破坏 ， 同 时 大 量 的 广播 包 也 降低 了 交换 机 的 性 能 。 

采用 交换 机 的 端口 安全 和 动态 端口 安全 功能 , 可 以 限制 单个 端口 所 连接 MAC 地 址 的 数 
目 ， 有 效 防止 类 似 macof 工具 和 SQL 蠕虫 病毒 发 起 的 攻击 。 例 如 ， 交 换 机 连接 单 台 工作 站 
的 端口 ,可 以 限制 所 学 MAC 地 址 数 为 1; 连接 IP. 电话 和 工作 站 的 端口 可 限制 所 学 MAC 地 
址 数 为 3( 分 别 用 于 IP 电话 、 工 作 站 和 IP 电话 内 的 交换 机 )。 
通过 端口 安全 功能 ， 还 可 以 静态 设置 每 个 端口 所 允许 连接 的 合法 MAC 地 址 ， 实 现 设 
备 级 的 安全 授权 。 动 态 端口 安全 功能 则 设置 端口 允许 合法 MAC 地 址 的 数目 ， 并 以 一 定时 
间 内 所 学 习 到 的 地 址 作为 合法 MAC 地 址 。 
除 上 述 两 个 功能 之 外 ， 端 口 安全 还 可 以 设置 超过 规定 MAC 数量 时 的 处 理 方法 。 
利用 交换 机 的 端口 安全 ， 防 范 MAC 泛 洪 攻击 的 配置 方法 如 下 。 
Switch(config)itswitchport port-security 
Switch(config)iswitchport port-security maximum 3 
Switch(config)iswitchport port-security violation restrict 


Switch(config)iswitchport port-security aging time 2 
Switch(config)itswitchport port-security aging type inactivity 


5.6.2 防范 DHCP 攻击 


采用 DHCP 服务 器 可 以 自动 为 用 户 设置 网 络 IP 地 址 、 子 网 掩 码 、 默 认 网 关 、DNS 服 
Jos. WINS 服务 器 等 网 络 参 数 ， 简 化 了 用 户 网 络 设置 ， 提 高 了 管理 效率 。 但 在 DHCP 管 
理 和 使 用 上 也 存在 着 一 些 令 网 管 人 员 比 较 头 痛 的 问题 ， 主 要 如 下 。 

* ”DHCP 服务 器 的 冒充 ， 网 络 用 户 有 意 或 无 意 启动 DHCP 服务 器 功能 ， 向 其 他 用 户 

发 放 错 误 的 IP 地 址 、DNS 服务 器 信息 或 默认 网 关 信 息 ; 
* DHCP 服务 器 的 DoS 攻击 : 黑客 利用 类 似 Goobler 的 工具 可 以 发 出 大 量 带 有 不 同 
源 MAC 地 址 的 DHCP 请 求 ， 直 到 DHCP 服务 器 对 应 网 段 的 所 有 地 址 被 占用 ; 

信 ”用 户 随 便 指定 地 址 ， 造 成 网 络 地 址 冲突 。 

为 了 能 有 效 阻 止 上 述 攻 击 ,我 们 可 以 在 交换 机 上 启用 DHCP Snooping(DHCP 侦 听 ) 功 能 。 
DHCP Snooping 是 DHCP [ff] Zz^ E， 通 过 建立 和 维护 DHCP Snooping 绑 定 表 过 波 不 可 信 
任 的 DHCP 信息 。 局 域 网 内 的 DHCP 信息 ， 交 换 机 可 以 在 用 户 与 DHCP 
服务 器 之 间 担 任 小 型 安全 防火 墙 的 角色 。 

DHCP Snooping 功能 基于 动态 地 址 分 配 建立 了 一 个 DHCP 绑 定 表 ， 并 将 该 表 存 储 在 交 
换 机 里 。 在 没有 DHCP 的 环境 中 ， 绑 定 条 目 可 能 被 静态 定义 。 每 个 DHCP 绑 定 条 目 包含 不 
信任 区 域 的 用 户 MAC 地 址 、 耳 地址、 租用 期 、VLAN-ID 接口 等 信息 ， 用 户 可 以 如 下 命令 
查看 该 表 。 

Switch #show ip dhcp snooping binding 

MacAddress IpAddress Lease (sec) Type VLAN Interface 


00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 

GigabitEthernet1/0/7 

当 交 换 机 开启 了 DHCP Snooping 后 ， 会 对 DHCP 报 文 进 行 侦 听 ， 并 可 以 从 接收 到 的 
DHCP Request 或 DHCP Ack 报 文 中 提取 并 记录 IP 地 址 和 MAC 地 址 信息 。 
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另外 ，DHCP Snooping 允许 将 某 个 物理 端口 设置 为 信任 端 
可 以 正常 接收 并 转发 DHCP Offer 报 文 ， 而 不 信任 端口 会 将 接收 型 


这 样 ， 可 以 完成 交换 机 对 假冒 DHCP Server 的 屏蔽 作用 , 确保 客户 端 


获取 IP 地 址 .默认 情况 下 ,所 有 用 户 端口 都 被 认为 不 可 信任 端口 ,不 应 该 作出 f 


应 ， 因 此 欺诈 DHCP 响应 包 被 交换 机 阻 断 , 合法 的 DHCP 服务 器 端 


为 信任 端口 。 
在 交换 机 中 ， 配 置 DHCP Snooping 的 过 程 如 下 。 
© 在 全 局 模式 配置 ， 全 局 启用 DHCP 侦 听 功能 。 


Switch (config)#ip dhcp snooping 


或 不 信 
的 DHCP Offer 报 文 丢 弃 。 


É 


合法 的 DHCP Server 


F 何 DHCP 响 


口 或 上 联 端口 应 被 设置 


© 如 果 是 针对 某 些 VLAN， 还 需要 定义 哪些 VLAN 启用 DHCP Snooping. 


Switch (config)#ip dhcp snooping vlan 13,200 


© x x DHCP 不 信任 端口 ,并 设置 DHCP 包 的 转发 速率 ， 超过 该 速率 时 就 关闭 该 端口 (默认 不 


限制 )。 


Switch (config-if)#no ip dhcp snooping trust 


Switch (config-if)#ip dhcp snooping limit rate 10 


Q x ouo 信任 端口 ， 使 从 该 端口 进入 的 dhcpDHCP 服务 器 数据 有 效 。 


Switch (config-if)#ip dhcp snooping trust 


5.6.8 防范 ARP 攻击 


应 用 实例 导航 : Sadness 公司 防范 ARP 攻击 


KREI 


Sadness 公司 网 管 在 处 理 一 起 网 络 中 断 故 障 中 , 用 户 反 映 无 法 Ping 通 网 关 , 但 网 关 设备 
工作 正常 , 他 通过 查询 交换 机 发 现 , 某 个 MAC 在 交换 机 内 多 次 出 现 , 并 拥有 多 个 不 同 的 IP。 


Switch#show ip cache flow 


V1160 10.48.160.2 Null 10.48. 
V1160 10.48.160.7 Null 10.48. 
V1168 10.48.168.38 Null 10.48 
V1160 10.48.160.27 Null 10.48 
V1168 10.48.168.212 Null 10.48 
V1168 10.48.168.83 Null 10.48 
V1160 10.48.160.96 Null 10.48 
V1160 10.48.160.115 Null 10.48 
V1160 10.48.160.82 Null 10.48 
V1160 10.48.160.191 Null 10.48 
V1160 10.48.160.181 Null 10.48 
V1160 10.48.160.181 Null 10.48 
V1168 10.48.168.87 Null 10.48 
V1160 10.48.160.135 Null 10.48 
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后 来 该 网 管 确认 这 样 的 攻击 为 ARP 攻击 ， 并 查询 了 很 多 资料 ， 最 终 使 用 Cisco DAI 防 


止 了 这 样 的 攻击 再 次 产生 。 
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在 以 太 网 中 , 数据 帧 从 一 个 主机 到 达 网 内 的 另 一 台 主 机 是 根据 48 位 的 以 太 网 地 址 ( 称 为 
MAC 地 址 ) 来 确定 接口 的 ， 而 不 是 根据 32 位 的 IP 地 址 。ARP(Address Resolution Protocol, 


地 址 解析 协议 ) 就 是 用 于 将 计算 机 的 IP 地 址 映射 成 MAC 地 址 的 协议 。 正 常情 况 下 ， 
在 第 一 次 通信 时 ， 源 3 
FF-FF-FF- FF-FF-FF), jfi) 


ZIP e dp 


同一 网 


E 机 首先 以 广播 方式 发 送 ARP 请 求 (目的 MAC 设置 为 
E IP 地 址 的 目的 主机 将 源 主机 MAC 地 址 和 IP 
记录 在 ARP 高 速 缓存 , 并 予以 ARP 应 答 , 返回 自己 的 IP 和 MAC 地 址 。 源 主导 
应 答 后 ， 更 新 自己 的 ARP 高 


也 址 的 对 应 关系 
接收 到 ARP 


速 缓存 。 此 后 ， 源 主机 与 目的 主机 就 可 以 进行 通信 了 。 


ARP 同时 支持 一 种 无 请 求 ARP 功能 ， 局 域 网 段 上 的 所 有 工作 站 都 将 收 到 主动 ARP 广 
播 ， 将 发 送 者 的 MAC 地 址 和 其 宣布 的 IP 地 址 保存 在 ARP 高 速 缓存 中 。 主 动 式 ARP 主要 
用 来 以 备份 的 主机 来 替换 失败 的 主机 。 由 于 ARP 无 任何 身份 校 验 机 制 ， 黑 客 利用 程序 发 送 
误导 的 主动 式 ARP， 使 网 络 流量 都 经 过 恶意 攻击 者 的 计算 机 ， 变 成 某 个 局 域 网 段 IP 会 话 的 
中 间 人 ， 从 而 达到 窃取 甚至 算 改 正常 传输 的 目的 。 黑 客 程序 发 送 的 主动 式 ARP 采用 发 送 方 
私有 MAC 地 址 而 非 广播 地 址 ， 通 信 接 收 方 根本 不 会 知道 自己 的 IP 地 址 被 取代 。 为 了 保持 
ARP 欺骗 的 持续 有 效 ， 黑 客 程序 每 隔 30s 都 会 重 发 私有 主动 式 ARP。 这 就 是 ARP 攻击 。 


ARP Jl AE Lr Et HU 
以 防范 的 一 种 攻击 行为 。 通 常 


最 高 的 一 种 攻击 行为 ， 而 且 也 是 很 多 厂商 网 络 设备 比较 难 
可 以 使 用 一 些 软 件 检 测 攻 击 行为 , 例如 AntiARP。 图 5-9 所 示 


的 是 AntiARP 的 使 用 界面 。 


22.00.13 RE BRCHAM o9 04 30 00 M 10 
22:00:14 XE ERICH 00-01-26-09-44-10 
22:00:19 IE ENACHE 00-01-96-09- 4-10 


Fic Bue 
| 
z200 04 XS ERACIRM -00-04-36-9 [7177 
HUIE E E EE 
[SER EIE 
90-04-06 00-24-10 x 
d -00-04-96-08-A4-10 禁止 气泡 提示 
A 00-04-9508 A410 
00-04-95 
BACHA ME -00-04-96-08-A4-10 


当然 ,用 户 可 以 通过 Windows 自 带 的 arp-a 命令 查询 网 关 MAC 地 
用 arp-s 静态 绑 定 到 网 关 的 IP 地 址 和 MAC 地 址 ， 防 止 受 到 ARP 欺骗 。 
Cisco 交换 机 可 以 通过 动态 ARP 检查 (Dynamic ARP Inspection，DAD 来 防止 攻击 。 


5-9 AntiARP 界面 


由 是 否 改变 ， 或 者 使 


DAI 


可 以 保证 接 入 交换 机 只 传递 “合法 ”的 ARP 请 求 和 应 答 信息 。DHCP Snooping 监听 绑 定 表 ， 


包括 IP 地 址 与 MAC 地 址 的 绑 定 信息 并 将 其 与 特定 的 交换 机 端口 相关 


K, DAI 可 以 用 来 检 


查 所 有 非 信任 端口 的 ARP 请 求 和 应 答 (主动 式 ARP 和 非 主动 式 ARP), 确保 应 答 来 自 真正 的 


ARP 所 有 者 。 


交换 机 通过 检查 端口 记录 的 DHCP 绑 定 信息 和 ARP 应 答 的 IP 地 


此 决定 是 否 为 真正 的 


ARP 所 有 者 ， 不 合法 的 ARP 包 将 被 删除 。DAI 配置 针对 VLAN， 对 于 同一 VLAN 内 的 接 


口 可 以 开启 DAI 


也 可 以 关闭 。 如 果 ARP 包 从 一 个 可 信任 的 接口 接收 到 ， 就 不 需要 做 任何 


检查 ， 如 果 ARP 包 从 一 个 不 可 信任 的 接口 上 接收 到 ， 该 包 就 只 能 在 绑 定 信息 被 证 明 合 法 的 


. 89» 


a 网 络 安全 大 全 回 


情况 下 才 会 被 转发 出 去 。 这 样 ，DHCP Snooping 对 于 DAI 来 说 也 成 为 必 不 可 少 的 。DAI 是 
动态 使 用 的 ， 相 连 的 客户 端 主机 不 需要 进行 任何 设置 上 的 改变 。 对 于 没有 使 用 DHCP 的 服 
务 器 ， 个 别 机 器 可 以 采用 静态 添加 DHCP 绑 定 表 或 ARP. 访问 控制 列表 实现 。 

另外 ， 通 过 DAI 可 以 控制 某 个 端口 的 ARP 请 求 报 文 频率 。 一 旦 ARP 请 求 报 文 的 频率 
超过 预先 设 定 的 阔 值 ， 立 即 关 闭 该 端口 。 该 功能 可 以 阻止 网 络 扫 描 工具 的 使 用 ， 同 时 对 有 
大 量 ARP 报 文 特征 的 病毒 或 攻击 也 可 以 起 到 阻 断 作用 。 

DAI 通常 是 与 DHCP Snooping 一 起 使 用 的 ， 配 置 方式 如 下 。 


Q 在 全 局 模式 下 ， 启 用 DAIL 


Switch (config)#ip dhcp snooping vlan 100,200 ,300,400 

Switch (config)#no ip dhcp snooping information option 

Switch (config)#ip dhcp snooping 

Switch (config)#ip arp inspection vlan 100,200 ,300,400 

Switch (config)#ip arp inspection log-buffer entries 1024 

Switch (config)#ip arp inspection log-buffer logs 1024 interval 10 


© 在 接口 模式 下 ， 对 于 不 信任 的 端口 做 如 下 配置 . 


Switch (Config-if)#no ip dhcp snooping trust 
Switch (config-if)#ip dhcp snooping limit rate 10 
Switch (config-if)#no ip arp inspection trust 
Switch (config-if)#ip arp inspection limit rate 15 


© 在 接口 模式 下 ， 对 于 信任 的 端口 做 如 下 配置 。 


Switch (config-if)#ip dhcp snooping trust 
Switch (config-if)#ip arp inspection trust 


O 对 于 没有 如 上 功能 的 交换 机 可 以 采用 静态 绑 定 的 方式 。 


Switch (config)#arp access-list static-arp 
Switch (config)#permit ip host 10.0.3.3 mac host 000a.ebac.3312 
Switch (config)#ip arp inspection filter static-arp vlan 200 


@@ 用 户 可 以 查看 日 志 ， 可 以 看 到 攻击 主机 被 拒绝 。 


Switch#show log: 

4w6d: $SW DAI-4-PACKET RATE EXCEEDED: 16 packets received in 296 milliseconds 
on Gi3/2. 

4w6d: $PM-4-ERR DISABLE: arp-inspection error detectedon Gi3/2, puttingGi3/2 
in err-disable state 

4w6d: €&SW DAI-4-DHCP SNOOPING DENY: 1 Invalid ARPs (Req) on Gi3/2, vlan 
183.([0003.472d.8b0£/10.10.10.62/0000.0000.0000/10.10.10.2/12:19:27 UTC 
Wed Apr 19 2000]) 

4w6d: $SW DAI-4-DHCP SNOOPING DENY: 1 Invalid ARPs (Req) on Gi3/2, vlan 
183.([0003.472d.8b0£/10.10.10.62/0000.0000.0000/10.10.10.3/12:19:27 UTC 
Wed Apr 19 20001) 


四 点 评 与 拓展 : 针对 网 络 第 二 层 的 攻击 是 最 容易 实施 也 是 最 不 容易 被 发 现 的 安全 威 
胁 ， 它 可 以 使 网 络 瘫 疾 或 者 通过 非法 获取 密码 等 敏感 信息 的 方式 来 危及 网 络 用 户 的 安全 。 
由 于 任何 一 个 合法 用 户 都 能 获取 一 个 以 太 网 端口 的 访问 权限 ， 而 这 些 用 户 都 有 可 能 成 为 黑 
客 ; 同时 ， 由 于 设计 OSI 模型 的 时 候 ， 允 许 不 同 通 信 层 处 于 相对 独立 的 工作 模式 ， 因 此 承 
载 所 有 客户 关键 应 用 的 网 络 第 二 层 的 安全 就 变 得 至 关 重要 。 
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这 一 章 通过 交换 式 网 络 攻击 行为 的 案例 ,详细 介绍 了 STP, VTP. VLAN 以 及 动态 VLAN 
和 私有 VLAN 等 交换 网 络 中 常见 的 配置 方式 。 然 后 通过 对 一 些 常见 攻击 方式 的 分 析 ， 讲 述 
T MAC 泛 洪 、DHCP 攻击 以 及 ARP 欺骗 等 较为 常见 的 攻击 手法 以 及 防范 手段 。 下 一 章 我 
们 将 介绍 关于 网 络 安全 接 入 准则 以 及 系统 升级 的 方法 以 使 网 络 更 加 安全 。 
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在 网 络 安全 中 讨论 得 最 多 的 问题 在 于 如 何 识 别 真正 的 用 户 ， 以 及 如 何 使 用 有 效 的 身份 


认证 方式 等 。 目 前 网 络 的 安全 认证 包括 两 个 方面 : 一 个 来 自 基于 RADIUS( 远 程 认证 拨 入 用 
户 服务 协议 ) 认 证 的 VPN( 虚 拟 专用 网 络 ) 远 程 接 入 、802.1x 局 域 网 接 入 以 及 无 线 网 接 入 等 认 
证 ， 另 一 方面 则 来 自 数据 在 网 络 传输 过 程 中 所 采用 的 电子 证 书 服务 。 
通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 
PKI 证 书 体系 
Windows 电子 证 书 服务 
AAA 认证 授权 统计 
RADIUS 认证 服务 


rm 


6.1 电子 证 书 服务 


6.1.1 PKI 公 钥 基础 结构 


PKI(Public Key Infrastructure， 公 钥 基 础 设施 ) 是 一 个 用 非 对称 密 码 算法 原理 和 技术 实现 
的 、 具 有 通用 性 的 安全 基础 设施 。PKI 利用 数字 证 书 标识 密 钥 持 有 人 的 身份 , 通过 对 密 钥 的 
规范 化 管理 ， 为 组 织 机 构建 立 和 维护 一 个 可 信赖 的 系统 环境 ， 透 明 地 为 应 用 系统 提供 身份 
认证 、 数 据 保密 性 和 完整 性 、 不 可 否认 性 等 各 种 必要 的 安全 保障 ， 满 足 各 种 应 用 系统 的 安 
全 需求 。 简单 的 说 ，PKI 是 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ,目的 是 为 了 自动 管理 密 钥 
和 证 书 ， 保 证 网 上 数字 信息 传输 的 机 密 性 、 真 实 性 、 完 整 性 和 不 可 否认 性 。 


1. 需要 PKI 的 原因 


随 着 网 络 技术 的 发 展 ， 特 别 是 Internet 的 全 球 化， 各 种 基于 互联 网 技术 的 网 上 应 用 ， 如 
电子 政务 、 电 子 商 务 等 得 到 了 迅猛 发 展 。 网 络 正 逐步 成 为 人 们 工作 、 生 活 中 不 可 分 割 的 一 
部 分 。 由 于 互联 网 的 开放 性 和 通用 性 ， 网 上 的 所 有 信息 对 所 有 人 都 是 公开 的 ， 因 此 应 用 系 
统 对 信息 的 安全 性 提出 了 更 高 的 要 求 。 

1) “对 身份 合法 性 验证 的 要 求 

以 明文 方式 存储 、 传 送 的 用 户 名 和 口令 存在 着 被 截获 、 破 译 等 诸多 安全 隐患 ， 同 时 ， 
还 有 维护 不 便 的 缺点 。 因 此 ， 需 要 一 套 安 全 、 可 靠 并 易于 维护 的 用 户 身份 管理 和 合法 性 验 
证 机 制 来 确保 应 用 系统 的 安全 性 。 

2) ”对 数据 保密 性 和 完整 性 的 要 求 

企业 应 用 系统 中 的 数据 一 般 都 是 明文 ， 在 基于 网 络 技术 的 系统 中 ， 这 种 明文 数据 很 容 
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易 汇 密 或 被 算 改 ， 必 须 采 取 有 效 的 措施 保证 数据 的 保密 性 和 完整 性 。 

3) ”对 传输 安全 性 的 要 求 

以 明文 方式 在 网 上 传输 的 数据 ， 很 容易 被 截获 导致 泄密 ， 因 此 必须 对 通信 通道 进行 加 
密 保 护 。 利 用 通信 专线 的 传统 方式 已 经 远 远 不 能 满足 现代 网 络 应 用 发 展 的 需求 ， 必 须 寻 求 
一 种 新 的 方法 来 保证 基于 互联 网 技术 的 传输 安全 需求 。 

4) ”对 数字 签名 和 不 可 否认 的 要 求 

不 可 否认 性 为 了 防止 事件 发 起 者 事后 抵赖 ， 对 于 规范 业务 ， 避 免 法 律 纠 纷 起 着 很 大 的 
作用 。 传 统 不 可 否认 性 是 通过 手工 签名 完成 的 ， 在 网 络 应 用 中 需要 一 种 具有 同样 功能 的 机 
制 来 保证 不 可 和 否认 性 ， 那 就 是 数字 签名 技术 。 

PKI 基于 非 对 称 公 钥 体制 , 采用 数字 证 书 管理 机 制 ， 可 以 为 透明 地 为 网 上 应 用 提供 上 述 
各 种 安全 服务 ， 极 大 地 保证 了 网 上 应 用 的 安全 性 。 

2. PKI 的 功能 组 成 结构 

PKI( 公 钥 基 础 设施 ) 体 系 主要 由 KMC( 密 钥 管 理 中 心 )、CA( 认 证 机 构 )、RA( 注 册 审 核 机 
构 )、 证 书 /CRL 发 布 系 统 和 应 用 接口 系统 五 部 分 组 成 。 

分 ” 密 钥 管理 中 心 (KMC): 密 钥 管理 中 心 向 CA 服务 提供 相关 密 钥 服务 ， 如 密 钥 生成 、 

密 钥 存储 、 密 钥 备 份 、 密 钥 恢 复 、 密 钥 托 管 和 密 钥 运算 等 。 

分 ”CA( 认 证 机 构 ): 认证 机 构 是 PKI 公 钥 基础 设施 的 核心 , 它 主要 完成 生成 /签发 证 书 、 
生成 /签发 证 书 撤销 列表 (CRL)、 发 布 证 书 和 CRL 到 目录 服务 器 、 维 护 证 书 数据 库 
和 审计 日 志 库 等 功能 。 

邻 “RA( 注 册 审 核 机 构 ): RA 是 数字 证 书 的 申请 、 审 核 和 注册 中 心 。 它 是 CA( 认 证 机 构 ) 
的 延伸 。 在 逻辑 上 RA 和 CA 是 一 个 整体 ， 主 要 负责 提供 证 书 注册 、 审 核 以 及 发 证 
功能 。 

* ”证书 /CRL 发 布 系统 : 该 发 布 系统 主要 提供 LDAP( 转 型 目录 访问 协议 ) 服 务 、.OCSP( 联 
机 证 书 状态 协议 ) 服 务 和 注册 服务 。 注 册 服 务 为 用 户 提 供 在 线 注册 的 功能 ，LDAP 
服务 提供 证 书 和 CRL 的 目录 浏览 服务 ， OCSP 服务 提供 证 书 状态 在 线 查 询 服务 。 
今 “ 应 用 接口 系统 : 应 用 接口 系统 为 外 界 提供 使 用 PKI 安全 服务 的 入 口 。 应 用 接口 系 
统一 般 采 用 API, JavaBean, COM 等 多 种 形式 。 一 个 典型 、 完 整 、 有 效 的 PKI 应 
用 接口 系统 至 少 应 具有 以 下 部 分 。 

e Aue uu) 

。 黑 名单 的 发 布 和 管理 (证 书 撤销 ); 
. 

. 

e. 


密 钥 的 备份 和 恢复 ; 

自动 更 新 密 钥 ; 

自动 管理 历史 密 钥 。 
3. PKI 的 应 用 模式 


PKI 提供 的 安全 服务 恰好 能 满足 电子 商务 、 电 子 政 务 、 网 上 银行 、 网 上 证 券 等 金融 业 交 
易 的 安全 需求 ， 是 确保 这 些 活动 顺利 进行 必 备 的 安全 措施 。 没 有 这 些 安全 服务 ， 电 子 商务 、 
电子 政务 、 网 上 银行 、 网 上 证 券 等 都 无 法 正常 运作 。 
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D) 电子 商务 

电子 商务 的 参与 方 一 般 包 括 买方 、 卖 方 、 银 行 和 作为 中 介 的 电子 交易 市 场 。 当 买方 登 
录 服 务 器 时 ， 互 相 需 要 验证 对 方 的 证 书 以 确认 其 身份 ， 这 被 称 为 双向 认证 。 

在 双方 身份 被 互相 确认 以 后 ， 建 立 起 安全 通道 并 进行 讨价还价 ， 之 后 向 商场 提交 订单 。 
订单 里 有 两 种 信息 : 一 部 分 是 订货 信息 ， 包 括 商 品名 称 和 价格 ， 另 一 部 分 是 提交 银行 的 支 
付 信 息 ， 包 括 金 额 和 支付 账号 。 买 方 对 这 两 种 信息 进行 “双重 数字 签名 ” 分 别 用 商场 和 银 
行 的 证 书 公 钥 加 密 上 述 信息 。 当 商场 收 到 这 些 交 易 信息 后 ， 留 下 订单 信息 ， 而 将 支付 信息 
转发 给 银行 。 商 场 只 能 用 自己 专 有 的 私 钥 解 开 加 密 的 订单 信息 并 验证 签名 。 同 理 ， 银 行 只 
能 用 自己 的 私 钥 解 开 加 密 的 支付 信息 ， 验 证 签名 并 进行 划 账 。 银 行 在 完成 划 账 以 后 ， 通 知 
起 中 介 作 用 的 电子 交易 市 场 、 物 流 中 心 和 买方 ， 并 进行 商品 配送 。 整 个 交易 过 程 都 是 在 PKI 
所 提供 的 安全 服务 之 下 进行 ， 实 现 了 安全 、 可 靠 、 保 密 和 不 可 否认 性 。 

2) ”电子 政务 

电子 政务 包含 的 主要 内 容 有 : 网 上 信息 发 布 、 办 公 自 动 化 、 网 上 办 公 、 信 息 资源 共享 
等 。 按 应 用 模式 也 可 分 为 G2C、G2B、G2G，PKI 在 其 中 的 应 用 主要 是 解决 身份 认证 、 数 据 
完整 性 、 数 据 保 密 性 和 不 可 抵赖 性 等 问题 。 
例如 ， 一 个 保密 文件 发 给 谁 或 者 哪 一 级 公务 员 有 权 查 阅 某 个 保密 文件 等 ， 这 些 都 需要 
进行 身份 认证 ， 与 身份 认证 相关 的 还 有 访问 控制 ， 即 权限 控制 。 认 证 通过 证 书 进行 ， 而 访 
问 控制 通过 属性 证 书 或 访问 控制 列表 (ACL) 完 成 。 有 些 文件 在 网 络 传输 中 要 加 密 以 保证 数据 
的 保密 性 ， 有些 文 件 在 网 上 传输 时 要 求 不 能 被 丢失 和 算 改 ， 特 别 是 一 些 保密 文件 的 收发 必 
须要 有 数字 签名 等 。 只 有 PKI 提供 的 安全 服务 才能 满足 电子 政务 中 的 这 些 安全 需求 。 
3) ”网 上 银行 
网 上 银行 是 指 银行 借助 互联 网 技术 向 客户 提供 信息 服务 和 金融 交易 服务 。 银 行 通过 互 
联网 向 客户 提供 信息 查询 、 对 账 、 网 上 支付 、 资 金 划 转 、 信 贷 业 务 、 投 资 理财 等 金融 服务 。 
网 上 银行 的 应 用 模式 有 B2C 个 人 业务 和 B2B 对 公 业 务 两 种 。 
网 上 银行 的 交易 方式 是 点 对 点 的 ， 即 客户 对 银行 。 客 户 浏览 器 端 装 有 客户 证 书 ， 银 行 
服务 器 端 装 有 服务 器 证 书 。 当 客户 上 网 访问 银行 服务 器 时 ， 银 行 端 首先 要 验证 客户 端 证 书 ， 
检查 客户 的 真实 身份 , 确认 是 否 为 银行 的 真实 客户 ; 同时 银行 服务 器 还 要 到 CA 的 目录 服务 
器 ， 通 过 LDAP 协议 查询 该 客户 证 书 的 有 效 期 和 是 否 进 入 “ 黑 名 单 ” 认证 通过 后 ， 客 户 端 
还 要 验证 银行 服务 器 端的 证 书 。 双 向 认证 通过 以 后 ， 建 立 起 安全 通道 ， 客 户 端 提交 交易 信 
息 ， 经 过 客户 的 数字 签名 并 加 密 后 传送 到 银行 服务 器 ， 由 银行 后 台 信息 系统 进行 划 账 ， 并 
将 结果 进行 数字 签名 返回 给 客户 端 。 这 样 就 做 到 了 支付 信息 的 保密 和 完整 以 及 交易 双方 的 
不 可 否认 性 。 

4) ”网 上 证 券 

网 上 证 券 广义 地 讲 是 证 券 业 的 电子 商务 ， 它 包括 网 上 证 券 信息 服务 、 网 上 股票 交易 利 
网 上 银 证 转账 等 。 一 般 来 说 ， 在 网 上 证 券 应 用 中 ， 股 民 为 客户 端 ， 装 有 个 人 证 书 ， 券 商 服 
务 器 端 装 有 Web 证 书 。 在 线 交 易 时 ， 券 商 服务 器 只 需要 认证 股民 证 书 ， 验 证 是 否 为 合法 股 
民 ， 是 单 向 认证 过 程 ， 认 证 通过 后 ， 建 立 起 安全 通道 。 股 民 在 网 上 的 交易 提交 同样 要 进行 
数字 签名 ， 网 上 信息 要 加 密 传 输 ， 券商 服 务 器 收 到 交易 请 求 并 解密 ， 进 行 资 金 划 账 并 做 数 
字 签 名 ， 将 结果 返回 给 客户 端 。 
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6.1.2 ”安装 证 书 服务 


证 书 服务 是 Windows Server 2003 操作 系统 的 核心 组 件 之 一 .根据 需要 ,可 以 将 Windows 
Server 2003 AES: 企业 根 CA、 企 业 从 属 CA、 独 立根 CA 或 独立 从 属 CA。 本 节 将 介绍 企业 
根 CA 的 配置 过 程 

1. 配置 活动 目录 服务 

企业 根 CA 需要 活动 目录 服务 (Active Directory，AD) 支 持 。AD 的 配置 方法 如 下 。 

Q 依次 单 击 【 开 始 〗-~ 【和 运行】 菜单 ， 在 打开 的 【运行 】 对 话 框 中 输入 dcpromo 命令 ， 单 击 

【 确认】 按钮 ， 如 图 6-1 所 示 。 

运行 Ab xl 
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L] M, windows 将 为 您 打开 它 。 
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图 6-1 安装 AD 


© 弹出 【Active Directory 安装 向 导 】 对 话 框 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-2 所 示 。 
m xi 


geta Active Directory 安装 向 


hiai e e SEA- aa. Active 
Directory 服务 ， 使 其 成 为 域 控制 


gpu tive ctory » RUZAN 
Li Active Directory BBUBRONUR- 


要 继续 ， 请 单 击 “ 下 一 步 ”- 


min 
图 6-2 AD 安装 向 导 


© 条 统 会 自动 产生 一 个 兼容 性 提示 ， 单 击 【 下 一 步 】 按钮 ， 如 图 6-3 所 示 。 

O 在 [ 城 控制 器 类 型 〗 向 导 页 中 ， 选 中 【新 域 的 域 控制 器 】 单 选 按钮 ， 并 单 击 【 下 一 步 】 按 
钮 ， 如 图 6-4 所 示 。 

Q 在 [新 的 域名 】 向 导 页 中 ， 输 入 新 域 的 DNS 的 名 称 ， 并 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-5 
所 示 。 

@@ 以 后 的 向 导 页 均 可 选择 默认 值 ， 【下 一 步 】 按钮 即 可 。 由 于 AD 服务 需要 DNS X 
持 ， 因 此 如 果 DNS 服务 尚未 安装 ， 它 会 检测 一 个 错误 并 提示 。 选 中 【在 这 全 计算 机 上 安装 
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并 配置 DNS 服务 器 , 并 将 这 台 DNS 服务 器 设 为 这 全 计算 机 的 首选 DNS 服务 器 】 单 选 按钮 


如 图 6-6 Bron. 


[itive Directors meS > 


BERRES 
Windows Server 2003 中 改进 的 安全 设置 会 影响 以 前 版 本 的 Windows. 


Eüdgiz, Server 2003 的 安全 设置 要 求 客户 端 和 其 地 服 


sw [BI m | 


图 6-3 安装 AD 兼容 性 提示 


域 控 制 器 类 型 
请 指定 想 要 此 服务 器 担任 的 角色 


您 想 要 此 服务 器 成 为 新 域 的 域 控制 器 还 是 现 有 域 的 额外 域 控制 器 ?7 


c ISE T) 
TANE onere 新 城 树 或 新 林 。 此 服务 器 将 成 为 新 域 中 的 第 一 
C 现 有 域 的 额外 域 控制 器 QD. 
A 用 这 个 选项 来 处 理 将 会 删除 所 有 在 这 个 服务 器 上 的 本 地 帐户 . 
所 有 密 钥 格 被 删除 ,应 该 在 继续 之 前 格 密 角 导 出 。 


op i i ， 应 该 在 继续 之 前 解 


上-*o[T-*m x» | 
Hl6-4 ”选择 域 控制 器 类 型 


ii > 


域名 
请 指定 新 域 的 名 称 。 


为 新 城 键 入 一 个 DNS 全 名 du: 
headquarters. exanple. microsoft com). 


新 域 的 ms £50: 


ae 


< 上 一 步 @) 取消 


6-5 输入 Active Directory 的 DNS 名 称 
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DES 注册 诊断 
确认 DNS 支持 ,或 在 此 计算 机 上 安装 DNS. 


册 诊 断 已 经 运行 1 次 。 | 


: Active Directory 的 DNS 结构 未 正确 配置 之 前 ， 域 控制 器 功能 A0 
加 入 域 、 登 录 到 域 和 Active Directory 复制 ) 将 不 可 用 。 


计算 机 使 用 的 DNS 服务 器 都 没有 在 超时 间隔 以 内 响应 。 iei 
C 我 已 经 更 正 了 错误 。 再 次 执行 DNS 诊断 测试 中)。 


c i DNS 服务 器 ， 并 将 这 人 台 DNS 服务 器 设 为 这 台 
Talia uc Kad. 


C 我 格 在 以 后 通过 手动 配置 ms 来 更 正 这 个 问题 D. GOD 
< 上 一 步 四 ) 取消 


图 6-6 ”提示 安装 DNS 


o 在 【权限 】 向 导 页 ， 选 中 【只 与 Windows 2000 或 Windows Server 2003 操作 系统 兼容 的 权 


限 】 单 选 按钮 ， 单 击 【 下 一 步 】〗 按 钮 ， 并 在 下 一 页 中 输入 密码 ， 如 图 6-7 所 示 。 


权限 
请 选择 用 户 和 组 对 象 的 默认 权限 。 


guess, " Windows NT 远程 访问 服务 ， 可 读 职 域 控制 器 储存 的 信 


0 Z RISORSE EREU QI 
加 果 在 Windows 2000 之 前 的 服务 器 操作 ma ON 
Windows 2000 或 nomi [cas 2003 
务 器 内 是 Windows 2000 Zi 
A a ed med 
G 只 与 Windows 2000 或 Windows Server 2003 操作 系统 兼容 的 权限 Œ) 


gj S — x 


目录 服务 还 原 模式 的 管理 员 密 码 
该 密码 在 “目录 服务 还 原 模式 ”下 局 动 计算 机 时 使 用 。 


MARRON 帐户 的 密码 。 该 帐户 是 该 服务 器 用 目录 服务 还 原 
EE 与 域 管理 员 帐 户 不 同 。 帐户 的 密码 可 能 不 同 ， 所 以 一 定 要 


还 原 模式 密码 D. Jr 
确认 密码 CO: pe 


有 关 目 录 服 务 还 原 模式 的 详细 信息 ， 请 参 闻 Active Directory 帮助 。 


«r-sw[F-Eq] mm 


6-7 ”权限 分 配 


© 此 后 系统 会 自动 安装 AD， 如 图 6-8 所 示 。 完 成 后 重新 启动 计算 机 即 可 使 用 ， 完 成 AD 安装 


后 如 图 6-9 所 示 。 
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Active Directory 安装 向 导 


向 导 正 在 配置 Active Directory。 根 据 您 所 选 的 选项 ， 此 过 程 可 能 要 花 几 分 
钟 或 更 长 时 间 。 


正在 创建 系统 卷 C: WINDOWSASYSVOL 


取消 


图 6-8 安装 AD 


Active Directory 安装 网 导 E 
FERR Active Directory 安装 向 


ENEXGTHHELES sadness net 域 安装 了 司 


Active Directory. 
已 格 此 域 控制 器 分 配给 Defauli-First-Si te-Nane 
Bh. Active Directory 站 点 和 服务 管理 工具 会 
管理 所 有 站 点 。 

| 


要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


完成 ji 


图 6-9 完成 AD 安装 


2. 配置 证 书 服务 
完成 AD 安装 后 ， 就 可 以 进行 证 书 服务 的 配置 了 ， 其 配置 方法 如 下 。 


Q 依次 单 击 【开始 】-【 控 制 面板 〗】- 【添加 或 删除 程序 】 菜 单 ， 在 打开 的 【添加 或 删除 程 


序 】 窗 口中 ， 单 击 【 添 加 /删除 Windows 组 件 】 图 标 ， 如 图 6-10 所 示 。 


玉生 加 或 到 除 程序 E lol x| 
当前 安装 的 程序 排序 方式 G@): [25 z 


freeine 6.0 


获得 支持 入 


TAHNA Ah “更改 


FIT X^ 54 


图 6-10 【添加 或 删除 程序 】 窗 口 
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© 在 【Windows 组 件 向 导 】 对 话 框 中 ， 在 【组 件 】 列 表 框 中 选中 【证 书 服 务 】 复 选 框 ， 如 
图 6-11 所 示 。 


EM M rl nM 


deo: 


BET 3sus a] 
O J5URIRS HE 0.0 MB 
O J HRIRA BIS 0.9 mB E 


E d ERER COUER RA FARAR ERE. 


所 和希 磁盘 空间 : 4.3 加 
可 用 磁盘 空间 5827.4 Wb. nemo... | 


图 6-11 [Windows 组 件 向 导 】 对 话 框 
e 弹出 【Windwos 证 书 服务 〗 警 告 提示 框 ， 提 示 用 户 安 装 证 书 服务 后 ， 将 无 法 再 重 命名 服务 
器 ， 并 无 法 加 入 域 或 者 删除 域 ， 确 认 后 单 击 【是 】 按 钮 ， 如 图 6-12 所 示 。 
3 
人、 


[XE] s» | 


6-12 [Windows 证 书 服务 】 警 告 提 示 框 
© 在 [CA 类 型 ] 向 导 页 中 ， 设 置 CA 类 型 。 通 常 很 多 企业 仅 有 单个 域 ， 因 此 这 里 选中 【企业 
根 CA】 单 选 按钮 ， 并 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-13 所 示 。 
vindovs 组 件 向导 ES 


ca z 
e 


类 型 
选择 您 起 设置 的 CA 类 型 . 


C GSIER XI 
C 企业 从 属 CAR) 


CA 类 型 的 撕 述 
企业 中 晤 受信 任 的 CA。 应 该 在 安装 其 好 CA 之 前 安装 。 | 


T 用 自 定义 设置 生成 密 钥 对 和 CA 证 书 WD 


<t- a [下 =- 步 中 »] 取消 | 帮助 | 


图 6-13 选择 CA 类 型 
© 在 [CA 识别 信息 】 向 导 页 中 ， 配 置 CA 的 公用 名 称 和 证 蔬 有 效 期 限 ， 并 单 击 【 下 一 步 】 按 
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钮 ， 如 图 6-14 所 示 。 


Tindors HAF 
CA 识别 信息 
输入 识别 该 CA 的 信息 。 


此 CA 的 公用 名 称 O): 
[SadnessCA 


可 分 辨 名 称 后 QD: 
HE TDC-net 


可 分 辨 名 称 的 预览 QD: 
adnessCA, DC=sadness, DC=net 


有 效 期 限 W: 截止 日 期 : 
E [f 可 2012-9-11 5:54 


o» | m] 


图 6-14 配置 CA 识别 信息 
@@ 在 [证书 数 据 库 设置 】 向 导 页 中 ， 设 置 证 书 数据 库 、 证 书 数据 库 日 志和 配置 信息 的 存储 位 
置 ， 设置 完毕 后 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-15 所 示 。 


Tindors 钥 件 向 导 


证 书 数 据 库 设置 
输入 证 书 数据 库 、 数 据 库 日 志和 配置 信息 的 位 置 。 


S m32\Cert DUE QD... 
m—— 
[C: WINDOWS systen32CertLog 
T 将 配置 信息 存储 在 共享 文件 夹 中 G) 
共享 文件 夹 0 ; 


[ DIN QD 


T- fS EBUBBULETSEGE E) 


ms | ww | 


6-15 设置 证 书 数据 库 


QD windows 将 自动 进行 安装 ， 安 装 过 程 中 ， 如 果 没有 启动 1IS( 因 特 网 信息 服务 系统 )， 系 统 将 
告知 无 法 使 用 Web id. 如 果 安 装 了 HS， 将 警告 系统 会 暂时 关闭 IS. €i 9x1 
按钮 继续 安装 ， 这 样 就 完成 了 证 书 服务 的 安装 
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6.1.3 用户 申请 证 书 


申请 和 接收 证 书 的 方式 取决 于 颁发 该 证 书 的 证 书 颁发 机 构 (CA) 所 使 用 的 策略 和 过 程 。 
例如 ， 某 些 CA 可 以 提交 申请 网 页 , 或 者 完成 AD 和 证 书 服务 的 计算 机 成 为 域 用 户 后 ， 并 授 
予 了 申请 证 书 权 限 ， 则 可 以 使 用 证 书 管理 单元 申请 证 书 。 

1. 证 书 模板 


使 用 证 书 模板 可 以 定义 Windows 2000 Enterprise CA 颁发 的 证 书 种 类 ,任意 访问 控制 列 
表 (DACL) 都 与 证 书 模板 相关 联 , 定义 哪些 安全 主体 拥有 读 取 、 注 册 和 配置 证 书 模板 的 权限 。 
Enterprise CA 集成 于 Active Directory 中 。 在 Active Directory( 在 整个 目录 林 中 有 效 ) 中 可 以 
定义 证 书 模板 和 模板 对 象 的 DACL。 如 果 有 多 个 Enterprise CA 在 Windows 目录 林 中 运 
行 ， 权 限 的 改变 将 影响 所 有 Enterprise CA. 

Windows 2000 企业 版 CA 使 用 的 证 书 模板 称 为 版 本 1 证 书 模 板 。Windows 2000 附 
带 了 大 量 预定 义 的 版 本 1 证 书 模板 ， 但 是 并 不 允许 修改 这 些 默 认 的 证 书 模板 。 唯 一 可 以 进 
行 的 修改 是 权限 ， 以 允许 注册 证 书 模板 。 安 装 Enterprise CA 后 ,在 默认 情况 下 将 创建 版 本 
1 证 书 模板 。 

Windows Server 2003 通过 引入 版 本 2 模板 扩展 证 书 模板 。 版 本 2 模板 允许 在 该 模板 
中 自 定义 大 多 数 设 置 。 默 认 配 置 提供 多 个 预 配置 的 版 本 2 模板 ， 并 允许 根据 需要 添加 更 多 
的 模板 ， 这 为 管理 员 提供 了 完全 的 配置 灵活 性 ; 或 者 ， 可 以 复制 版 本 1 证 书 模板 ， 生 成 能 
够 分 别 进行 修改 和 保护 的 版 本 2 证 书 模板 。 

XE: 与 Windows 2000 相似 ，Windows Server 2003 标准 版 仅 支持 版 本 1 模板 。 
Windows Server 2003 企业 版 和 Windows Server 2003 数据 中 心 版 对 版 本 1 和 版 本 2 模板 
都 支持 。 基 于 版 本 2 模板 的 证 书 仅 能 由 运行 Windows Server 2003 企业 版 或 Windows 
Server 2003 数据 中 心 版 的 Enterprise CA 颁发 。 


在 定义 证 书 模板 时 ， 证 书 模板 的 定义 必须 对 目录 林 中 的 所 有 CA 可 用 。 这 通过 将 证 书 
模板 信息 存储 在 配置 名 称 上 下 文 (CN=Configuration，DC=ForestRootName) 来 实现 。 该 信息 
的 复制 取决 于 Active Directory 的 复制 安排 ， 而 且 在 复制 完成 之 前 证 书 模板 对 所 有 CA 都 
不 可 用 。 该 存储 和 复制 由 Windows Server 2003 系列 计算 机 自动 完成 。 表 6-1 是 Windows 
2003 预 配置 的 证 书 模板 。 


表 6-1 Windows 2003 预 配置 的 证 书 模板 


dü xk 密 钥 用 途 
5 允许 信任 列表 签名 和 用 户 身份 验证 签名 和 加 密 : 是 

已 验证 身 | 接受 方 能 够 通过 Web 服务 器 验证 身份 

份 的 会 话 

Basic EFS | 加 密 文件 系统 (EFS) 用 其 对 数据 进行 加 密 

CA 交换 于 存储 为 私 钥 存档 配置 的 密 钥 


签名 f 


上 
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续 表 
名 称 dá xk 接收 方 类 型 向 AD 发 布 
CEP 加 密 | 允许 所 有 者 充当 注册 颁发 机 构 (RA) ， 
以 满足 简单 证 书 注 册 协 议 (SCEP) 的 要 计算 机 否 
求 
代码 签名 | 用 于 以 数字 方式 签名 的 软件 用 户 f 
WSL 允许 计算 机 通过 网 络 对 自身 进行 身份 验 - 
E em 计算 机 f 
身份 验证 证 
交叉 证 书 | 在 交叉 证 书 和 限定 的 下 一 级 别 中 使 用 Š 
" CrossCA A 
颁发 机 构 
目录 电子 | 用 于 复制 Active Directory. 中 的 电子 邮 
签名 和 加 密 DirEmailRep 是 
b 制 器 拥有 的 各 种 用 途 的 证 书 签名 和 加 密 DirEmailRep 是 
域 控 用 于 验证 Active Directory 计算 机 和 用 
签名 和 加 密 计算 机 m 
身份 验证 | 户 的 身份 É 5 
EFS 恢复 | 允许 接收 方 对 先前 使 用 EFS 进行 加 密 用 户 x 
代理 的 文件 进行 解密 S 
注册 代理 | 用 于 代表 另 一 个 接收 方 请 求证 书 用 户 fr 
Ra 用 于 代表 另 一 个 计算 机 接收 方 请 求证 书 计算 机 5 
(计算 机 ) 
交换 注册 | 用 于 代表 另 一 个 接收 方 请 求证 书 ， 并 在 
代理 ( 脱 机 | 请 求 中 提供 接收 方 名 称 用 户 f 
请 求 ) 
仅 交 换 用 于 Microsoft 交换 密 钥 管理 服务 ， 向 
签名 Exchange 用 户 颁 发 证 书 ， 使 用 户 能 够 以 用 户 f 
数字 方式 对 电子 邮件 进行 签名 
交换 用 户 用 于 Microsoft 交换 密 钥 管理 服务 ， 向 
Exchange 用 户 颁 发 证 书 ， 对 电子 邮件 进 用 户 是 
行 加 密 
IPSEC 用 于 IP 安全 (IPSec)， 对 网 络 通信 进 和 
i 信 进 行 | 签名 和 加 密 “ | 计算 机 8 
数字 签名 、 加 密 和 解密 
IPSEC( 脱 | 用 于 IP 安全 (IPSec)， 对 网 络 通信 进行 
机 请 求 ) 数字 签名 、 加 密 和 解密 ( 当 在 要 求 中 提供 | 签名 和 加 密 计算 机 fy 
接收 方 名 称 时 ) 
密 钥 恢复 | 该 证 书 可 以 恢复 在 证 书 颁发 机 构 存 档 的 $ 
KRA 是 
代理 私 钥 
根 证 书 颁 | 用 于 验证 根 证 书 颁发 机 构 的 身份 
> CA 是 
发 机 构 
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名 称 密 钥 用 六 接收 方 类 型 向 AD 发 布 
智能 卡 登录 允许 所 有 者 使 用 签名 和 加 密 _ | 用 户 


智能 卡 用 户 


允许 所 有 者 使 用 


AMA 签名 和 加 密 “ | 用 户 是 
行 身份 验证 和 保护 

从 属 证 书 颁 用 于 证 明 根 证 书 颁 发 机 构 ( 由 父 或 根 签名 E & 

发 机 构 证 书 颁发 机 构 颁发 ) 的 身份 Tm 5 

信任 列表 签名 | 所 有 者 能 够 以 数字 方式 对 信任 列表 进 ; r 
f 签名 用 户 否 
行 签名 

用 户 身份 用 户 用 于 电子 邮件 、EFS 和 客户 端 

1d 于 电子 邮件 和 客户 端 身 | 各 各 和 加 密 | 用 户 x 


验证 
仅 用 户 签名 
Web 服务 器 
路 由 器 ( 脱 
机 请 求 ) 


验证 的 证 书 


UE Web 服务 器 的 身份 
于 通过 SCEP 从 持 有 CEP 加 密 
证 书 的 CA 请 求 的 路 由 器 


2. 证 书 申请 


申请 证 书 前 ， 我 们 需要 配置 用 户 对 证 书 模 板 的 使 用 权限 ， 在 【Active Directory 站 点 服 
务 】 管 理 单元 中 列 出 了 当前 系统 的 所 有 证 书 模板 ， 它 们 拥有 不 同 的 用 户 权 限 ， 因 此 我 们 需 


要 


照 自己 的 需求 来 配置 这 些 权限 。 


证 书 模板 权限 设置 的 步骤 如 下 。 
o 依次 单 击 【 开 始 】 一 【程序 】 一 【管理 工具 】 一 【Active directory 站 点 与 服务 】 菜 单 ， 打 开 
[Active directory 站 点 和 服务 】〗 窗 口 ， 如 图 6-16 所 示 。 


EL— ——3Àl 加 


， 


签名 和 加 密 


签名 和 加 密 


计算 机 


ini xi 
隔世 局 | 


DES 3 
I 
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6-16 [Active Directory 站 点 和 服务 】 窗 口 
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© 选择 左 侧 窗 格 中 的 【Active Directory 站 点 和 服务 】 图 标 ， 选 择 【 查 看 了 一 【显示 服务 器 结 
点 了 命令 , 展开 控制 台 树 , 然后 在 Public Key Services 结 点 下 选择 Certificate Templates 选项 ， 
右边 就 会 列 出 所 有 证 书 模板 ， 如 图 6-17 所 示 。 


ES Active MENES EE 
DEIN BEV ZEV FOW FHV | 218124 
+» omseage 
EJ 
n| 
zi 


6-17 ”显示 证 书 模板 


© 配置 用 户 对 模板 的 使 用 权限 。 对 于 不 同 的 模板 ， 系 统 有 不 同 的 默认 权限 。 当 然 ， 系 统 默认 
所 有 用 户 都 可 以 使 用 User 证 书 模板 。 而 对 于 如 域 控制 器 等 ， 则 拥有 不 同 的 权限 ， 管 理 员 可 
以 按照 需要 修改 这 些 权限 ， 如 图 6-18 所 示 。 


D zjx 
常规 “| 处 理 请 求 | 使 用 者 名 称 | 扩展 2è |ue | 
RAPIRO: 
parere rers 
[ mv" — 
| 
nterprise Mais Shassvtaterprire M e OBERI BATERIE SE jum | 
织 mmmmarse pm compas 
iH PERO: 
Athenticeted rers 


组 bwsin huins SAMES eniin Mains) 
renum S| oasis vers cmsmesn User? 


完全 控制 口 
LE n 
写 入 口 
注册 m 
Em... meo 
Enterprise Adains HSPE Œ) je 拒绝 
- m^ 完全 控制 口 n 
特别 权限 或 高 级 设置 ,请 单 击 “ 高 级 ”. m a n 
BA m n 
um m n 
BE 取消 
特别 权限 或 高 级 设置 ,请 单 击 “ 高 级 ”。 高 级 四 
ws |[ xk] ee 


6-18 证 书 模板 权限 


* 105 * 


HEREKE a 

@@ 依次 单 击 【 开 始 】- 【运行 】 菜 单 ， 在 【运行 】 对 话 框 中 输入 mme 命令 ， 进 入 【控制 台 】 
窗口 ， 然 后 单 击 【文件 】 一 【添加 /删除 管理 单元 】 命 令 ， 如 图 6-19 所 示 ， 打 开 【 添 加 /删除 
管理 单元 】 对 话 框 。 


1 C: WINDOWS\systen32\dssite msc 
退出 gg) 


BED BS RECON Iq. 
图 6-19 控制 台 窗口 


@@ 单 击 【 添 加 ] 按钮， 在 【添加 独立 管理 单元 】 对 话 框 中 选择 【证 书 】 了 选项 ， 然 后 依次 单 击 
【完成 】 和 【关闭 】 按 钮 如 图 6-20 所 示 。 


添加 /删除 管理 单元 
独立 | 扩展 | 
使 用 此 页 来 添加 歌 册 除 控制 台 的 管理 单元 。 
SEITEN: aeaea JS 


KIE] 
ES 

£l Microsoft Corpora. 

翻 性 能 日 志和 警报 Microsoft Corpora. 

pin Microsoft Corpora. 
se— Microsoft Corpora. 

[Small nig] Microsoft Corpora. 

[nali Microsoft Corpora... 

ORRE Microsoft Corpora... 

车 组 策略 对 象 编辑 器 Microsoft Corpora... 
mmo... | m (uars Microsoft Corpora... — 


描述 
Fa 自己 的 、 一 个 服务 的 或 一 台 计算 机 的 证 书 


sao | 


6-20 ”添加 证 书 并 进入 管理 控制 台 
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加 第 6 章 网 络 身份 认证 服务 © 
Q 在 【证 书 管理 单元 】 对 话 框 中 选中 【我 的 用 户 帐户 】 单 选 按钮 ， 然 后 依次 单 击 【 完 成 】 和 
【关闭 】 按 钮 ， 如 图 621 所 示 。 
xi 
该 管理 单元 将 始 终 为 下 列 帐户 管理 证 世 : 
C BEBSRIPTOS S 


C 服务 帐户 G) 
C 计算 机 帐户 (C) 


rof zo] — mum 
图 6-21 账户 管理 


Q 选择 【证 书 -当前 用 户 】 下 的 【个 人 ]】 图 标 ， 右 击 ， 在 弹出 的 快捷 菜单 中 选择 〖 所 有 任务 
一 【申请 新 证 书 】 命 令 ， 弹 出 【证 书 申请 向 导 】〗 对 话 框 ， 在 欢迎 页 中 单 击 【 下 一 步 】〗 按 钮 ， 
如 图 6-22 所 示 。 


=iojxj 
文件 @) MEWO SEV KERO SOW MHW 
e» ome nB e 


电 控制 台 根 节点 对 象 类 型 
e Ey 证 书 - 当前 用 户 ES 
pe d 
s C) 。 查找 证 书 QD) | 
a -ps 
由 a 中 ERER o 
” n *o ， 申请 新 证 书 下 
条 Wi saa GRELE E xl 
d a E 新 任务 板 视图 D. 欢迎 使 用 证 书 申 请 向 导 
KO 
SHEU R NASRED pace t ua CA) 申 请 新 证 
LI x 
la x 5 是 确认 您 的 身份 
mace. PERERA DESETA EERDE 
" 
生生 人 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 6-22 【证 书 申请 向 导 】 对 话 框 
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@@ 在 [证 书 类 型 】 向 导 页 中 ,选择 申请 证 书 的 类 型 。 如 果 选 中 【高 级 】 复 选 框 ， 将 会 弹出 上 加 


密 服务 提供 程序 〗 向 导 页 ， 让 用 户 选 择 加 密 形式 。Windows 自 带 了 两 种 加 密 程 序 : 一 种 是 
Microsoft Base Cryptographic Provider; Zi 一 种 是 Microsoft Enhanced Cryptographic Provider. 
设置 完毕 后 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 6-23 Pom. 


E 
证 书 类 型 

证 书 类 型 包含 为 证 书 预先 设置 的 属性 值 - 

人. 您 只 能 访问 来 自 受信 任 的 CA 并 且 您 有 权限 访 

TSN O: 

xi 

PUT 加 密 服 务 提供 程序 
用 户 加 密 服务 提供 程序 (CsP) 为 加 密 和 解 客 消息 生成 公 钥 和 私 钥 对 。 


WORROOERRANUUUSHEN CA, 选择 “高 级 ”。 
T 高 级 @) 


Fé 标志 此 密 钥 为 可 导出 的 。 这 格 区 许 您 在 稍 后 备份 或 传输 密 铀 W. 
. B ART ， 
r papira. 如果 局 用 这 个 选项 ,每 次 应 用 程序 使 用 私 骨 时， 您 都 会 得 


«$a [r—5 >] 取消 


图 6-23 设置 证 书 类 型 及 加 密 类 型 


© 在 [证书 颁发 机 构 】 向 导 页 中 ， 保 持 默认 设置 ， 直 接 单 击 【 下 一 步 】 按 钮 打开 【证 书 的 好 
记 的 名 称 和 描述 〗 向 导 页 。 如 果 有 必要 ， 证 书 应 该 在 此 加 入 一 些 简 要 的 说 明 ， 用 于 识别 。 
设置 完毕 后 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-24 所 示 。 

EST E 


VES REORIEBI T MERERI. 
ao: 
em AO 
计算 机 @) 
[rr 
证 书 申请 向 导 xil 
证 书 的 好 记 的 名 称 和 若 述 
ETLER ZEME, RENER. 
为 新 证 书 键入 好 记 的 名 称 和 搓 述 。 
好 记 的 名 称 D: 
zm 
iQ 
GEXEEAI 


<t- RA 


6-24 ”设置 证 书 颁发 机 构 和 好 记 的 证 书 名称 
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Q 在 [正在 完成 证 书 申请 向 导 了 向 导 页 中 ， 单 击 【 完 成 了 按钮， 如 
x 
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6-25 所 示 。 


正在 完成 证 书 申请 向 导 


您 已 成 功 地 完成 了 证 书 中 请 向 导 - 


3. Web 申请 证 书 


—- | 


图 6-25 完成 证 书 申请 


Windows Server 2003 还 提供 了 基于 Web 的 证 书 申请 和 管理 方式 , 默认 情况 下 可 以 使 用 


这 些 网 页 进行 各 种 与 证 书 服务 相关 的 业务 处 理 ， 


其 URL 是 : 


http:// 证 书 服务 器 ip/certsrv 


基于 Web 申请 证 书 时 ， 
选择 不 同 的 加 密 服务 提供 程 


可 以 申请 基本 证 书 ， 
序 、 不 同 的 哈 希 算法 (SHA/RSA，SHA/DSA，MD5) 以 及 不 同 的 
密 钥 规格 。 用 户 可 以 将 申请 到 的 证 书 保存 到 PKCS#10 文件 中 ， 其 过 程 如 下 。 
o 打开 Internet Explorer 浏览 器 ， 在 地 址 栏 输入 证 书 服务 器 的 URL， 服 务 器 会 询问 身份 ， 输入 


也 可 以 使 用 高 级 选项 申请 证 书 ， 并 上 


合法 的 用 户 名 和 密码 ， 如 图 6-26 所 示 。 


EE kttr://10.0.0. ertarv 


aa 
ar 
oa- o P BR OIRR O) on 
[' T IGITETEXXUPIES Jea ee” 
[à] nonse z cix 
22 
" 
m———— 
russe 201 
seat ete LITT [rr RES 
. sapane. ausan. SPD I 
i m meme T eeano 
z EIE. 
Ee pom 
Was. ansin Sna 
—— 
到 | 
- Į jb eret P 


图 6-26 输入 合法 的 用 户 名 和 密码 


1 可 以 


© 用 户 身份 验证 通过 后 ， 将 打开 证 书 服务 站 点 的 首页 。 单 击 【 申 请 一 个 证 书 】 链 接 ， 开 始 申 
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请 证 书 ， 如 图 6-27 所 示 。 


xt poc SEO BEW IAD 帮助 中 | a 
QmsB-O-(Diddc|Pse wx Olo sir UD E d 
BD [i] http: //10.0.0. 1/eortsro/ c|Edem we 


Kicrosoft 证 书 服务 一 


xe 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 使 用 证 书 ， 您 可 以 向 通过 
Web 通信 的 人 确认 您 的 身份 ， 答 署 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 节 ， 证 书 链 ， 或 证 书 吊销 列表 (CRL) ， 或 查看 挂 杷 的 申请 的 状 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 


选择 一 个 任务 : 
申请 一 个 证 书 
查看 挂 起 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


E 
[SEI F-T-T-T-T O ert E 
图 6-27 在 打开 的 证 书 服务 站 点 申请 一 个 证 书 
© 在 [申请 一 个 证 书 】 网 页 中 ， 单 击 【 用 户 证 书 】 链 接 ， 如 图 628 所 示 。 
T es aloj x) 
XM MD EO KAW IAD HMW | tr 
Om- O-A OLER EX O| O s 00 ES 
HRED [E] ics 77:6.0.0:1/cer ter] cer traue. er EDPLLE 
A 
申请 一 个 证 书 
选择 一 个 证 书 类 型 : 
用 户 证 书 
或 者 ， 提 六 一 个 高 级 证 书 牛 请 。 
加 
DAE FF TOT emen E 
图 6-28 用 户 证 书 申请 
© 在 [用 户 证 书 -识别 页 中 ， 单 击 【提交 】 按 钮 继续 ， 或 者 单 击 【 更 多 选项 】 链 接 来 


ne 6-29 所 示 。 
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用 户 证 书 - 识别 信息 


- PeF) 
IPO RÈD SEO REV IAD Wb) E 
|Gm&-O-i o|^EE TW €: 

ii [Specie 7 Dra es > 


不 需要 进一步 的 识别 信息 - 


文件 四 GI SEC «mw IRAV EVY 


用 户 证 书 - 识别 信息 


XAR. 


不 需要 进一步 的 识别 信息 。 BERERE, Wide "jEZ CU. 


选择 一 个 加 迹 服 务 提供 程序 


6-29 ”设置 用 户 证 书 -识别 信息 


© t 【提交 ] 按钮 后 ， 将 会 生成 证 书 ， 并 且 会 弹出 【潜在 的 脚本 冲突 】 安 全 信 
告知 “存在 潜在 的 脚本 冲突 ”， 单 击 【 是 】 按 钮 ， 如 


E] 


6-30 所 示 。 


XO SEO SEV VEW IRD EDY E 
I JCIDEOCEJGLETI-EZJEIETELT 
MED [E] «es /io 0 0 1/curt er] centri erret z]EJes wm» 
a 
用 户 证 书 - 识别 信息 
不 需要 进一步 的 识别 信息 。 mrmnoDDCLILL MN NN 4f 
更 多 选项 : A 
选择 一 个 加 密 服务 提供 程序 
csp: [Microsof Enhanced Cry —Ao [E 
T RRRA 
申请 格式 。 G CHC C PKCS10 正在 生成 申请 . 
如果 您 天 要 一 个 未 在 此 处 列 出 的 高 级 选项 。 请 使 用 
到 
leet. DIT DT mee Z 


6-30 ”脚本 冲突 警告 消息 


N 


息 提 示 框 ， 


sl 


网 络 安全 大 全 


o 证 书生 成 后 ， 系 统 会 显示 用 户 已 经 完成 了 证 书 的 申请 。 如 果 原 来 已 经 安装 了 证 书 则 会 显示 
【证 书 已 颁发 〗 界 面 ， 如 图 6-31 所 示 。 


证 书 已 安装 


证 书 已 颁发 


don ROULEAU HR. 
EJ (心经 安装 TiE 书 ) 


| 
TT zd 
图 6-31 完成 证 书 申 请 


Q 在 证 书 申请 过 程 中 ， 也 可 以 在 图 6-29 中 单 击 【 请 使 用 “高 级 证 书 申请 ” 窗 体 】 链 接 ， 打 开 
如 图 6-32 所 示 的 【高 级 证 书 申 请 】 页 面 。 


号 weresecv ERI - Microsoft Internet Explorer 

XED RED SEV PRO IAD 帮助 QD | 
QsE-O-bigc|bsk ww elo 0a 

Ri [o 770.00 1 m 

dicrosoft 证 书 服务 - 


高 级 证 书 申请 


CA 的 策略 决定 您 可 以 申请 的 证 书 类 别 。 单 击 下 列 选 项 之 一 来 : 


IE 


[D TTT T re 


Jd 
p 


6-32 ”高 级 证 书 申请 


© 单 击 【创建 并 向 此 CA 提交 一 个 申请 】 链 接 ， 进 入 【高 级 证 书 申请 】 网 页 ， 用 户 可 以 定义 
证 书 的 各 种 高 级 属性 ， 如 图 6-33 所 示 。 对 于 此 页 的 各 个 选项 的 解释 如 下 。 
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+ — CSP(Microsoft Enhanced Cryptographie Service Provider. 加密 服务 提供 程序 ): 设置 CSP 


进行 创建 密 钥 、 吊 销 密 钥 以 及 使 用 密 钥 执行 各 种 加 密 操作 。 每 个 CSP 都 提供 了 不 同 
的 CryptoAPI 实现 。 某 些 提供 了 更 强大 的 加 密 算法 ， 而 另 一 些 则 使 用 硬件 组 件 ， 例 如 
智能 卡 。 


高 级 证 书 申 请 
upseus- 


RF z] 
nmam: 


ML A 
csp: [Vic 
Sem. eri 
goh: [np 7 BI wawa 


er aene eg aeneo > 


C 自动 窑 调 容 并 名 称 O RPTSEDEWE RAN. 
RT | 
L4 


EILEEN UNE TENELUEIT 
C 局 用 级 和 乌 保 扩 [I EXSESCECEHPS Rr O r U 
TOREDAT Ait S atm [e] uo; 1000 tenter corr mv er EIDLOLLES 
ATERI EPT S m MERVOUUISE F= 
* oun. | CREER 
FRS TER IAE IH 
厂 净 证 书 保 和 在 二 地 计算 机 行 信 中 
Me —ó EBETE AHATA 
Dre TRAPI ETEN pl 


zre Rn 
其 他 选项 : 

申请 格式 :全 CHC CPKcslo 

ARR: [Scr s] 


M TEAEE. 


Tn ang tnt 


好 记 的 名 丈 : 


DL ICECETETE Risa 
图 6-33 ”高 级 证 书 申请 


+ BAAD: 设置 证 书 上 公 钥 的 长 度 (以 位 为 单位 )。 通 常 ， 密 钥 越 长 越 安全 。 

o ARME: 好 的 哈 希 算法 使 得 构造 两 个 相互 独立 且 具 有 相同 哈 希 的 输入 不 能 通过 计算 
方法 实现 。 典 型 的 哈 希 算法 包括 MD2、MD4、MD5 和 SHA-1。 

e BARR: 设置 如 何 使 用 私 钥 .【 交 换 】〗 表 示 私 钥 可 以 用 于 交换 敏感 信息 .【 签 名】 表 
示 私 钥 只 能 用 来 创建 数字 签名 .【 二 者 】〗 表 示 私 钥 可 以 用 于 交换 和 签名 功能 。 

”创建 新 密 钥 集 /使 用 现存 的 密 钥 集 : 您 用 户 可 以 将 存储 在 计算 机 中 的 现 有 公 钥 和 私 钥 对 
用 于 证 书 ， 或 者 为 证 书 创建 新 的 公 钥 和 私 钥 对 。 有 关 重 用 密 钥 和 生成 新 密 钥 的 详细 信 
息 ， 请 参阅 证 书 资源 上 的 内 容 。 

人 ”启用 强 私 钥 保 护 : 如 果 启 用 强 私 钥 保 护 ， 每 次 需要 使 用 私 钥 时 ， 系 统 将 提示 用 户 输入 
密码 。 

人 ”标记 密 钥 为 可 导出 : 如 果 将 密 钥 标记 为 可 导出 ， 就 能 把 公 钥 和 私 钥 保存 到 文件 中 。 在 
更 改 计 算 机 并 需要 移动 密 钥 对 时 ， 或 删除 密 钥 对 并 将 它们 保存 在 其 他 位 置 时 ， 这 是 很 
有 用 的 。 


E. 


*TI3:* 
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人 将 证 书 保 存在 本 地 计算 机 存储 中 : 如 果 当 其 他 用 户 登 录 时 ， 计 算 机 需要 访问 与 证 书 关 
联 的 私 铀 ， 则 要 选择 该 选项 。 当 申请 颁发 给 计算 机 (例如 Web 服务 器 ) 的 证 书 ， 而 不 是 
颁发 给 用 户 的 证 书 时 ， 请 选择 该 选项 。 
人 保存 申请 到 一 个 文件 : 如 果 无 法 连接 能 够 联机 处 理 证 书 申请 的 证 书 颁发 机 构 ， 则 需要 
使 用 该 选项 。 
@@ 完成 以 上 选项 的 配置 后 ， 单 击 【提交 ] 按钮 完成 申请 。 
4. 自动 注册 
上 述 手 动 申请 和 安装 证 书 的 过 程 我 们 可 以 将 其 看 成 为 一 种 注册 行为 。 但 是 对 于 大 型 网 
络 而 言 , 这 样 做 十 分 复杂 。 证 书 自动 注册 是 一 个 允许 客户 端 自动 向 CA 提交 证 书 申请 并 允许 
检索 和 存储 颁发 证 书 的 过 程 ， 整 个 过 程 由 网 络 管理 员 进 行 控制 。 
使 用 自动 注册 功能 ， 单 位 能 够 对 用 户 证 书 的 生命 周期 进行 管理 ， 包 括 证 书 续 订 、 证 书 
的 取代 和 多 个 签名 要 求 。 
证 书 自动 注册 基于 组 策略 设置 和 版 本 2 证 书 模板 的 组 合 。 这 种 组 合 使 Windows XP 
Professional 或 Windows Server 2003 客户 端 可 以 在 用 户 登 录 到 域 时 注册 用 户 ， 或 在 计算 机 
启动 时 注册 该 计算 机 ， 并 使 用 户 和 计算 机 在 这 些 事件 之 间 定 期 更 新 。 
自动 注册 用 户 证 书 提供 了 一 种 快捷 简单 的 方式 ， 用 以 向 用 户 颁 发 证 书 和 在 Active 
Directory 目录 服务 环境 中 启用 公 钥 基础 结构 (PKD 应 用 程序 ， 诸 如 智能 卡 登录 、 加 密 文件 
系统 (EFS)、 安 全套 接 字 层 (SSL) 安全 /多 用 途 Internet. 邮件 扩展 (S/MIME) 等 ,。 当 Windows 
XP Professional 客户 端 被 配置 为 使 用 Active Directory 时 ， 用 户 自动 注册 可 将 标准 PKI 部 
署 的 高 昂 成 本 降 到 最 低 ， 并 减少 PKI 实现 的 总 拥有 成 本 (TCO)。 下 面 简要 地 介绍 一 下 证 书 
自动 注册 的 配置 过 程 。 
在 【Active Directory 站 点 和 服务 】 目 录 树 中 选择 一 个 证 书 模板 ， 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 【属性 】 命 令 ， 打 开 证 书 模板 的 属性 对 话 框 ， 如 图 6-34 所 示 。 
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RESP 00: [2046 z 


«7 FE FEHR QD. 

兰考 册 ， 关 有 信用 了 与 证 58 的 和 多， 执行 以 T 光 
注册 证 书 使 用 才 时 无 备用 户 输入 D 

, CBeHEREPO) 

C OENOBSRRDEGT, 注册 时 提示 用 户 并 要 求 用 户 输入 QD 


ESSERE -UNEESÜRSECSOH o 


确定 |[ mm ] 55 


6-34 ”证 书 模板 属性 对 话 框 
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© 当然 ， 并 不 是 所 有 的 证 书 都 有 相同 


DoeainContrellerkatheaticstios EEE 


常规 
Beo: 


s 第 6 章 ”网 络 身份 认证 服务 € 
的 【处 理 请 求 】〗 选 项 卡 ， 如 图 6-35 所 示 。 


sym | 安 | xa 
ATER | 。 使 用 者 名 称 | MEER 


r 把 使 用 者 的 加 窜 私 钥 存档 


T 包括 使 用 者 允许 的 对 称 算法 
三 BIRANA EDS AIF) 0 


最 小 密 钥 大 小 虽 : [1024 z] 
T^ 区 许 导出 秘 铜 @) 


€ |EfBLETSIERE RETE RIP SA E 


c AVIS r 注册 时 提示 
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geuaceum. » 并 且 使 用 了 与 该 证 寺 Tao 
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图 6-35 不 同 模板 的 【处 理 请 求 】 选 项 卡 
© 在 所 选 证 书 模板 的 【处 理 请 求 】 选 项 卡 中 单 击 CSP 按钮 ， 从 弹出 的 【CSP 选择】 对 话 框 中 


选择 CSP 以 改变 智能 卡 模板 的 自动 注册 行为 。 如 果 选 择 了 多 个 CSP, 那么 ， 
检索 自动 注册 的 证 书 并 开始 将 它 安装 在 智能 卡 上 时 ， 用 户 可 能 
列表 框 中 只 为 每 个 模板 选择 一 个 CSP( 加 密 服 务 提 供 程序 )， 如 


职 代 模板 村 扩展 
Sn 


mm | E | 
Heb: 
厂 抬 使 用 者 的 加 密 秘 包 存 档 0D 
K 


景 小 密 钥 大 小 中: [2043 =] 
NEZ O) 


l RERSCEEM. BERT EIE HOSIAS, ATTA 


G 注册 证 书 使 用 者 时 无 需 用 户 输 入 QD 
， 个 注册 时 提示 用 户 QD 


在 私 名 被 使 用 的 情况 下 ， 注 册 时 提示 用 户 并 要 求 用 户 锭 入 QD. 


Se a 


包括 使 用 看 允许 的 对 称 算法 中 
局 Eg ABUSE SHOES CIE) D 


3j Windows XP 
J 开 多 个 对 话 框 。 建 议 从 该 
6-36 所 示 。 

axi 


Strong Cryptographic Provider 


[Lm G wu 


确定 ERO 


6-36 选择 CSP 


O 在 所 选 证 书 模板 的 【颁发 要 求 了 选项 卡 上 ， 如 果 选 中 【授权 签名 的 数量 了 复 选 框 并 使 该 值 
大 于 1, 将 使 接收 方 不 能 基于 该 模板 自动 注册 , 将 需要 请 求 者 使 用 来 自 其 证 书 存储 中 的 有 效 
证 书 的 私 钥 来 签署 请 求 。 该 证 书 必 须 包 含 相同 选项 卡 上 的 【应 用 程序 策略 】 下 拉 列 表 框 和 


enis 
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【颁发 策略 〗 列 表 框 中 所 指定 的 应 用 程序 策略 和 颁发 策略 。 如 果 请 求 者 的 证 书 存 储 中 
合适 的 证 书 ， 则 自动 注册 将 使 用 该 证 书 的 私 钥 来 签署 该 请 求 ， 并 自动 获得 安装 所 请 求 的 证 


TI 


ph 【有 效 的 现存 证 书 〗 单 选 按 钮 可 能 影 


书 。 在 所 选 证 书 模板 的 【颁发 要 求 〗】 选 项 卡 上 ， 选 


响 接 收 方 自动 注册 。 该 单 选 按钮 将 告诉 CA 接收 方 在 续 订 有 效 证 书 时 不 需要 满足 颁发 要 求 。 


但 已 经 无 法 自动 注册 初始 证 书 的 接收 方才 有 可 能 能 够 使 用 自动 注册 来 续 订 证 书 ， 如 ”图 
6-37 所 示 。 
[Enana 
厂 在 使 用 者 名 称 中 包括 电子 邮件 名 GD) 
将 这 个 信息 包括 在 另 一 个 使 用 者 名 称 中 : 
厂 电子 邮件 名 QD 
roma 
Iv 用 户主 体 名 称 UD W 
厂 服务 的 主体 名 称 GPD QD. 
as [mm] | 
图 6-37 配置 【使 用 者 名 称 】 和 【颁发 要 求 】 选 项 卡 
在 所 选 证 书 模板 的 【常规 】 选 项 卡 上 ，【〖【 有 效 期 】 和 【 续 订 期 】 指 定 了 证 书 的 有 效 证 书 期 


限 ， 以 及 在 它 的 有 效 期 限 结束 之 前 多 长 时 
效 期 可 以 非常 短 , 并且 续 订 期 可 能 重 得 ， 


因 


间 自 动 注册 将 请 求 续 订 ， 如 
此 ,自动 注册 将 在 已 经 过 了 记 


6-38 所 示 。 由 于 有 
E 书 有 效 期 至 少 20% 


之 后 才 会 续 订 证 书 。 这 样 可 以 防止 由 于 有 效 期 和 续 订 期 设置 被 错误 配置 ， 而 导致 自动 注册 


无 休止 地 续 订 证 书 。 


E 
TAEEUT ES 下 ) 
EHRE 
RERI CA: Windows Server 2003, Enterprise 


JERUE D 


ES 


一 一 一 一 一 一 一 一 
| 处 理 请 求 | 。 使 用 者 名 称 | ex 


e Edition 


[TE 


有 效 期 W: WTA: 


[ sp 到 [ s[s 


T^ 在 Active Directory PRREB QU 
T pf stir Directory PRESS, 
[5] 
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不 要 自动 重新 


we [wm | 


RAW 


6-38 配置 有 效 期 和 续 订 期 
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s 第 6 章 网 络 身份 认证 服务 
Q 依次 单 击 【 开 始 】- 【和 运行】 菜单， 在 打开 的 【运行 】 对 话 框 中 输入 mme 命令 ， 单 击 【 确 


定 】〗 按 钮 进入 【控制 台 】 窗 口 ， 然 后 选择 【文件 】〗】 一 【添加 /删除 管理 单元 】 命 令 ， 如 图 6-39 
所 示 。 

axi 

pun M E d 


MA 
1 C: WINDOWS Asysten32Vdssi te. asc 
TT 


LLLI LL 
图 6-39 【控制 台 】 窗 口 


Q 在 【添加 /删除 管理 单元 〗】 对 话 框 中 ， 单 击 【添加 】 按 钮 ; 并 在 【添加 独立 管理 单元 】 对 话 
Lu 钮 ， 如 图 6-40 所 示 。 
RES 


使 用 此 页 来 添加 或 删除 控制 台 的 管理 单元 。 


axi 
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6-40 【添加 独立 管理 单元 】 对 话 框 


O 添加 完成 后 ， 单 击 控制 合 左 侧 窗 格 中 【证 书 模板 】 选 项 ， 并 在 其 右 窗 格 选择 【用 户 了 模板 ， 
然后 选择 【操作 】 一 【复制 模板 】 命 令 ， 如 图 6-41 所 示 。 
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图 6-41 复制 证 书 模板 


O 在 [新 模板 的 属性 对话 框 的 【常规 】 选 项 卡 中 ， 选 中 【在 Active Directory 中 颁发 证 书 】 


复 选 框 ， 然 后 切换 到 【〖 安 全】 选项 卡 ， 在 【组 或 用 户 名 称 】〗】 列 表 框 中 选择 Domain Users 选 
项 ,在 Domain Users 的 权限 框 中 选择 【注册 】 和 【自动 注册 】 两 个 复 选 框 ， 如 图 6-42 所 示 。 
sams “一 


将 改动 应 用 到 这 个 选项 卡 之 后 ， 悠 就 无 法 再 更 改 模板 和 名。 


EE 
RRE D: 
[EP mn — — aa | mmm | 。 使 用 者 名 称 | mxms 
取代 模板 1 扩展 安全 
姐 或 用 户 名 称 C) 
有 效 期 0D - f] Ministrator (SADNESS\Adainistrator) 
ife 到 BR Authenticated Users 
Diosin Admins (SADNESS\Domain Admins) 
7 Pi Donsin Users (SADNESS\Domain Users) 
[V 3E Active Director: Efl Enterprise Adains (SADNESS\Enterprise Admins) 
T Eg Active Dire 
Emo. | meo | 
Domain Users 的 权限 到 ) 允许 拒绝 
完全 控制 口 口 
iem nu nu 
SA n n 
im B o 
自动 注册 iz nm 
特别 和 限 或 高 级 设置 ,请 单 击 “ 高 倒 ”- aav 
Low [a] m] 


图 6-42 设置 模板 权限 
Q axes Dre 【程序 】 一 【管理 工具 】 一 【证 书 颁发 机 构 】 菜 单 ， 在 控制 台中 选择 


【证 书 模板 】 选 项 ， 然 后 选择 【操作 】 一 【新 建 〗 一 【要 颁发 的 证 书 模板 】 命 令 ， 如 图 


Bron. 
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Q 在 【启用 证 书 模板 】 对 话 框 
6-44 所 示 。 
Q uos Dr o 【运行 】 命 令 ， 在 【运行 】 对 话 框 


按钮 ， 如 


图 6-43 ”新 建 要 颁发 的 证 书 模板 


中 ， 选 择 刚 才 新 建 的 用 户 证 书 模板 的 副本 ， 然 后 单 击 【 确 定 】 


PF 输入 mmc， 进 入 【控制 台 】 窗 口 ， 


然后 单 击 【 文 件 〗” 一 【添加 删除 管理 单元 】 命 令 ， 在 打开 的 【添加 独立 管理 单元 〗 对 话 框 


中 选择 【Active Directory 用 户 和 计算 机 】 选 项 ， 如 


6-45 所 示 。 
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6-44 ”选择 用 户 证 书 模板 


可 用 的 独立 管理 单元 : 
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WET Freserork 1.1 Configu.. Microsoft Corpore 
lieresoft Corpora 

EActive Directory 域 和 信任 关系 Microsoft Corpore. 
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6-45 ”添加 Active Directory 用 户 和 计算 机 
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O 单 击 【编辑 ] 按钮， 在 新 弹出 的 【组 策略 编辑 器 】 窗 口 
设置 】 一 【安全 设置 】 一 【 公 钥 策略 〗， 单 击 【 自 动 注 志 
设置 属性 】 对 话 框 中 选中 【 续 订 过 期 证 蔬 、 更 新 未 决 证 


网 络 安全 大 全 a 


在 控制 台中 对 所 选 的 域 (例如 下 图 中 的 sadness 域 ) 单 击 右键 , 在 弹出 的 快捷 菜单 中 , 选择 【 属 


性 了 命令 ， 并 切换 到 【组 策略 】 选 项 卡 ， 如 图 6-46 所 示 。 
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图 6-46 【组 策略 】 选 项 卡 


用 证 书 模板 的 证 书 〗 复 选 框 ， 如 图 6-47 所 示 。 


通过 上 述 步骤 ， 我 们 完成 了 一 个 CA 的 安装 和 配置 工作 ， 并 且 也 实现 了 手 了 
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6-47 ”自动 注册 设置 


Pb 选择 【用 户 配 置 】 一 【Windows 
设置 】， 并 在 弹出 的 【自动 注册 
上 并 删除 吊销 的 证 书 〗 和 【更 新 使 


基于 Web 证 书 申请 和 自动 证 书 申请 的 配置 。 下 面 两 节 ， 我 们 将 介绍 如 何 吊 销 证 
导入 和 导出 证 书 。 
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s 第 6 章 


6.1.4 证 书 吊销 


网 络 身份 认证 服务 e 


应 用 实例 导航 : Sadness 公司 证 书 系统 
XOAZE SENE 
Sadness 公司 根据 我 们 的 建议 建立 了 一 套 安全 完善 的 证 书 管理 系 


那个 攻击 者 利用 公司 证 书 管理 员 的 疏忽 ， 继 续 使 用 证 书 服务 访问 公司 内 部 的 大 量 资源 。 
此 Sadness 公司 为 了 维护 单位 的 PKI 完整 性 , 在 受 领证 书 的 员工 离开 单位 后 , 或 者 某 个 证 书 
泄密 后 ， 应 当 由 CA 的 管理 员 将 其 证 书 吊 销 ， 当 证 书 被 CA 吊销 时 ， 它 将 添加 到 该 CA 的 


管理 


统 ， 但 是 前 一 章 所 述 


e 


证 书 吊销 列表 (CRL) 中 , 可 采取 新 的 CRL 或 增 量 CRL 的 形式 进行 该 操作 。 增 量 CRL 是 一 


个 小 的 CRL， 列 出 自 上 一 个 完整 的 CRL 以 来 吊销 的 证 书 。 
(1) 吊销 证 书 ， 
Q) 安排 证 书 吊 销 列表 (CRL) 的 发 布 ; 
(3) 吊销 大 量 证 书 。 


gae 


证书 吊销 ， 通 常 有 如 下 几 个 原因 。 

证 书 受 领 人 的 私 钥 泄露 或 被 怀疑 泄露 ， 
证 书 颁发 机 构 的 私 钥 汇 露 或 被 怀疑 泄露 ; 
发 现 证 书 是 用 欺骗 手段 获得 的 ; 

作为 信任 实体 的 证 书 受 领 人 的 状态 改变 ; 
更 改 证 书 受 领 人 的 名 称 。 


9$9999E 


公 钥 基础 结构 PKD 取 决 于 凭据 的 分 布 式 验证 ， 这 样 就 不 必 与 保护 凭证 安全 的 中 央 信 任 


实体 直接 通信 。 这 样 就 需要 将 证 书 吊销 信息 分 发 给 个 人 、 计 算 机 和 1 
性 的 应 用 程序 。 对 吊销 信息 及 其 时 间 性 的 要 求 取决 于 证 书 吊 销 检查 


:在 尝试 验证 证 书 有 效 
的 应 用 程序 及 其 执行 情 


况 。 要 有 效 支 持 证 书 吊 销 ， 客 户 端 必须 确定 证 书 是 否 有 效 或 是 否 被 吊销 。 为 支持 各 种 方案 ， 


证 书 服 务 支 持 证 书 吊销 的 行业 标准 方法 ， 包 括 在 客户 端 能 够 访问 的 


多 个 位 置 (包括 Active 


Directory 目录 服务 、Web 服务 器 和 网 络 文件 共享 ) 上 发 布 证 书 吊 销 列表 (CRL) 和 增 量 CRL。 
CRL 是 已 经 吊销 的 未 过 期 证 书 的 完整 的 数字 签名 列表 。 客 户 端 检索 该 列表 ， 将 其 缓存 


(根据 配置 的 CRL 的 寿命 ) 并 使 用 它 来 验证 所 提供 的 要 使 用 的 证 书 。 


HF CRL 会 变 大 ， 根 


据 证 书 颁发 机 构 的 大 小 , 也 可 发 布 增 量 CRL. Hitt CRL 只 包含 自发 布 上 一 个 基本 CRL 以 


来 吊销 的 证 书 。 它 允许 客户 端 检索 较 小 的 增 量 CRL 并 快速 建立 完整 


的 已 吊销 证 书 列表 。 使 


用 增 量 CRL 也 允许 进行 更 加 频繁 的 发 布 ， 因 为 增 量 CRL 的 大 小 需要 的 开销 小 于 完整 的 


CRL 的 开销 。 
1. 吊销 证 书 
下 面 简要 地 介绍 一 下 吊销 证 书 的 操作 步 刀 


说 
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@ 在 证 书 服务 器 中 ， 依 次 选择 【开始 〗-_。【 程 序 】- 【管理 工具 〗-_。【 证 书 颁发 机 构 】， 打 
开 【 证 书 颁发 机 构 】 管 理 控制 人 台 窗 口 。 在 证 书 颁发 机 构 控 制 树 中 选择 【颁发 的 证 书 】 选 项 ， 
如 图 6-48 所 示 。 


Er 
+t- GimgimgI 


| | 


图 6-48 查看 证 书 


O 在 右 窗 格 中 选择 需要 吊销 的 证 书 ， 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【所 有 任务 】-【 串 
销 证 书 〗 命 令 。 在 弹出 的 【证 书 吊 销 〗 对 话 框 中 ， 选 择 吊销 证 书 的 理由 。 若 在 【理由 码 】 
下 拉 列 表 框 中 选择 【证 书 待定 〗， 则 在 证 书 到 期 前 都 可 以 取消 证 书 吊 销 。 如 果 证 书 状态 不 
能 肯定 ， 而 且 要 给 CA 管理 员 提 供 一 些 灵活 性 ， 则 选择 该 选项 非常 有 用 ， 如 图 6-49 所 示 。 


XED WEO FEV WHW 
e~» om0 e 
[D rnmm — Lr 
5 Sadness 
Ca mE 
Ciiemwi 


Ca 失败 的 中 请 
Cauca 


| 而 后 了 所 有 可 对 此 对 但 执行 的 党 作 - 


图 6-49 吊销 证 书 
© 如 果 从 “证 书 待定 ”状态 撤销 已 吊销 的 证 书 ， 可 在 CA 命令 提示 符 下 执行 如 下 命令 。 


certutil -revoke CertificateSerialNumber unrevoke 
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O 如 果 想 对 原因 代码 为 “证 书 待定 ”状态 的 吊销 证 书 更 改 吊销 类 型 ， 请 在 CA 命令 提示 符 下 


输入 如 下 命令 ， 其 中 Code 定义 如 表 6-2 Prom. 


certutil -revoke CertificateSerialNumber Code 


表 6-2 Code 定义 


新 原因 代码 


PS 


命 


令 
未 指定 certutil -revokeCertificateSerialNumber 0 
密 钥 泄漏 certutil -revokeCertificateSerialNumber 1 
CA 泄漏 certutil -revokeCertificateSerialNumber 2 
附属 关系 已 改变 certutil -revokeCertificateSerialNumber 3 
被 取代 certutil -revokeCertificateSerialNumber 4 


操作 停止 
2. 安排 证 书 吊 销 列表 (CRL) 的 发 布 


certutil -revokeCertificateSerialNumber 5 


证 书 服务 的 其 中 一 项 功能 是 , 在 CA 管理 员 指 定 了 时 间 间 隔 后 , 每 个 CA 都 自动 发 布 
更 新 的 CRL， 该 时 间 间 隔 称 为 “CRL 发 布 期 ”。 在 初次 安装 CA 之 后 ，CRL 发 布 期 被 设置 
为 一 周 (根据 本 地 计算 机 时 间 ， 从 CA 首次 安装 的 日 期 开始 计算 )。 

CA 管理 员 应 了 解 CRL 发 布 jii CRL 有 效 期 之 间 的 区 别 。CRL 的 有 效 期 是 证 书 验 
证 者 将 CRL 视 为 权威 的 时 间 段 。 只 要 证 书 验证 者 在 其 本 地 缓存 中 具有 有 效 的 CRL， 它 就 
不 会 尝试 从 发 布 它 的 CA 另 一 个 CRL。 


里 员 建 立 。 但 是 ，CRL 
在 默认 情况 下 ， 


CRL 的 发 布 期 由 CA 管 


间 人 允许 进行 Active Directory 复制 。 i 


的 有 效 期 是 从 发 布 期 延伸 而 来 的 ， 期 
: 书 服务 将 发 布 期 延长 10%( 最 多 可 加 


E 12 个 小 时 ) 以 建立 有 效 期 。 因 此 ， 如 果 CA 每 24 小 时 发 布 CRL， 那 么 有 效 期 设置 为 
26.4 小 时 。 

此 外 , 还 存在 时 钟 偏差 (在 发 布 期 的 开始 和 结束 时 间 额 外 增加 10 分 钟 )。 因 此 考虑 到 计 
算 机 时 钟 设置 中 的 偏差 ，CRL 将 在 其 发 布 期 开始 前 10 分 钟 有 效 。 管 理 员 还 可 使 用 注册 表 
项 来 控制 发 布 期 和 有 效 期 之 间 的 差异 ， 以 便 更 慢 的 目录 复制 也 能 顺利 进行 。 

确定 CRL 发 布 的 计划 时 ,应 对 性 能 与 安全 性 进行 平衡 。 发布 CRL 的 频率 越 高 ， 当 前 
客户 端 使 用 已 吊销 CRL 列表 的 次 数 越 多 ， 它 们 接收 最 近 帅 销 的 证 书 的 可 能 性 越 小 。 但 是 ， 


频繁 发 布 会 对 网 络 和 客户 端的 性 能 造成 不 良 影响 。 要 减轻 这 种 不 平衡 性 ， 可 在 环境 支持 的 


情况 下 使 用 增 量 CRL。 
下 面 简要 地 介绍 安排 证 书 吊销 殉 


表 (CRL) 的 发 布 的 配置 过 程 。 


Q 在 [证 书 颁发 机 构 】 管 理 控制 合 窗口 的 控制 树 中 ， 选 择 【吊销 的 证 书 了 选项， 右 击 ， 在 弹 


出 的 快捷 菜单 中 选择 【属性 了 命令 ， 
© 在 【吊销 的 证 书 属性 】 对 话 框 中 ， 
单 击 【确定 】 按 钮 完成 配置 ， 如 图 6-51 所 示 。 


3. 吊销 大 量 证 书 


如 


图 


6-50 所 示 。 
设置 【CRL 发 布 间隔 〗】 以 及 是 否 发 布 增 量 CRL， 然 后 


在 进行 大 量 证 书 吊 销 的 大 型 CA 上 , CRL 可 以 变 得 很 长 .对 于 频繁 下 载 的 客户 端 来 说 ， 
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这 会 成 为 一 种 负担 。 要 将 很 长 的 CRL 的 频繁 下 载 次 数 降 至 最 低 ， 可 发 布 增 量 CRL。 它 使 
客户 端 能 够 下 载 最 新 增 量 CRL， 并 将 该 CRL 与 最 新 基本 CRL 组 合 在 一 起 ， 以 拥有 已 吊 
销 证 书 的 完整 列表 。 由 于 客户 端 通常 在 本 地 缓存 CRL， 因 此 ， 使 用 增 量 CRL 可 潜在 改进 
性 能 。 


fa BERIG 
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吊销 的 证 书 尾 性 


图 6-51 【吊销 的 证 书 属性 】 对 话 框 
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要 使 用 增 量 CRL， 客 户 端 应 用 程序 必须 了 解 并 明确 使 用 增 量 CRL 来 进行 吊销 检查 。 
如 果 客 户 端 不 使 用 增 量 CRL， 它 会 在 每 次 刷新 其 缓存 时 从 CA 检索 CRL， 不 管 增 量 CRL 
是 和 否 存在 。 为 此 ， 应 验证 预期 应 用 程序 是 否 使 用 增 量 CRL， 并 进行 相应 的 配置 。 如 果 客 户 
端 不 支持 使 用 增 量 CRL, 则 不 应 将 CRL 配置 为 发 布 增 量 CRL, 或 者 不 应 将 其 配置 为 于 同 
一 间隔 发 布 CRL 和 增 量 CRL。 这 仍 允 许 未 来 的 支持 增 量 CRL 的 应 用 程序 使 用 它们 ， 同 
时 可 为 所 有 应 用 程序 提供 当前 CRL. 注意 ,使 用 Windows XP 和 Windows Server 2003 家 
族 产 品 中 的 CryptoAPI 的 所 有 应 用 程序 都 使 用 增 量 CRL. 

要 解决 增 量 CRL 非常 大 的 这 种 特殊 情况 ， 可 在 CA 上 执行 以 下 步骤 。 
O 在 以 下 注册 表 项 下 修改 注册 表 值 ， 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configurati 
on\<Name of CA> 


// 将 cRLOverLapPeriod 设 为 分 钟 。 默 认 值 为 小 时 。 
// 将 ClockSkewMinutes 设 为 1 分 钟 。 默 认 值 为 10。 
e 重新 启动 CA 服务 。 重 新 启动 CA 服务 的 方法 是 ， 打 开 〖【 服 务 】 控 制 台 窗口 ， 在 窗口 右 侧 
列表 框 中 ， 右 击 Certificate Services， 在 弹出 的 快捷 菜单 中 选择 【重新 启动 】 命 令 ， 如 
6-52 所 示 。 
© 发 布 新 的 基本 CRL. 基本 CRL 具有 仅 两 分 钟 的 CRLPropagationComplete 时 间 ， 所 有 后 
续 增 量 CRL 都 参考 此 基本 CRL。 一 旦 完成 此 项 ， 便 可 以 将 CRLOverLapPeriod 和 
ClockSkew 恢复 为 默认 值 。 
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6-52 重新 启动 CA 


4. 手动 发 布 CRL 


我 们 还 可 以 根据 需要 随时 发 布 CRL， 例 如 在 重要 证 书 的 安全 受到 威胁 时 。 选 择 在 确定 
的 计划 外 发 布 CRL， 将 计划 的 发 布 期 重 设 为 在 该 时 间 开 始 。 换 句 话说， 如果 在 计划 的 发 布 
期 中 间 手 动 发 布 CRL， 会 重新 启动 该 CRL 发 布 期 。 
Q 在 [证 书 颁发 机 构 本 管理 控制 台 窗 口 的 控制 树 中 ， 选 择 【 吊 销 的 证 书 了 选项 ， 右 击 ， 在 弹 
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出 的 快捷 莱 单 中 选择 【所 有 任务 〗】 一 【发 布 〗 命 令 ， 如 图 6-53 Pom. 
2e BERIG -inixi 
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CRL. 


在 当前 CRL 过 区 之 前 。 客户 庙 不 会 


发 布 一 个 完整 的 CL, TRSH CA 的 最 新 的 吊销 信息 - 


发 布 CRL 的 简化 版 本 ， 它 只 包 合 CEL 最 近 一 次 发 布 后 的 更 新 。 


Ew | a7 | 


| 和 @ 括 了 所 有 可 对 此 对 个 执行 的 媒 作 。 


图 6-53 手动 发 布 CRL 
© 在 [发 布 CRL] 对 话 框 


H, 


PI CRLIÆ sp 4, M dz AMRA ED m HA (CRL), 


或 选中 【 仅 增 量 CRL】 单 选 按钮 来 发 布 当 前 增 量 CRL， 并 单 击 【确认 】 按 钮 。 


的 点 评 与 拓展 : 即使 是 已 经 发 布 了 新 的 CRL， 具 有 以 前 发 布 的 CRL 缓存 副本 的 客 
户 端 仍 可 以 继续 使 用 它 直到 有 效 期 满 ， 这 一 点 非常 重要 。 手 动 发 布 CRL 不 影响 仍然 有 效 


CRL 的 缓存 副本 ， 它 只 


它 只 为 没有 有 效 CRL 缓存 副本 的 系统 提供 新 的 CRL. 


6.1.5 证 书 导 入 、 导 出 


证 书 管理 提供 了 导出 和 导入 证 书 的 管理 工具 ， 如 果 需 要 ， 还 可 以 包括 证 书 路 径 和 私 钥 。 


在 不 同 的 CA 系统 中 ， 证 书 格式 可 以 不 同 ， 如 PKCS 412 、 


1. 标准 证 书 格式 
1) “个 人 信息 交换 


PKCS #7 U ITU- 


T X.509 等 。 


个 人 信息 交换 格式 PFEX， 也 称 为 PKCS #12) 允 许 证 书 及 相关 私 钥 从 一 台 计 算 机 传输 到 


另 一 台 计 算 机 或 可 移动 媒体 。 


PKCS #12( 公 钥 加 密 标 准 #12) 是 业界 格式 ， 适 用 于 证 书 及 相关 私 钥 的 传输 、 备 份 和 还 


原 ， 该 操作 可 以 在 相同 或 不 同 的 供应 商 的 产品 之 间 进 行 。 


要 使 用 PKCS 
出 。 如 果 证 书 是 上 
足下 列 条 件 之 一 时 ， 该 证 书 的 私 钥 将 仅 为 可 导出 的 。 
信 ”该 证 书 用 于 加 密 文 件 系 统 (EFS) 或 EFS 恢复 。 
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#12 格式 ， 加 密 服务 提供 程序 (CSP) 必须 将 证 书 和 密 钥 识别 为 可 以 导 
Windows Server 2003 或 Windows 2000 证 书 颁发 机 构 颁发 的 ， 则 在 满 
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今 “ 通 过 在 【高 级 证 书 申 请 】 证 书 颁发 机 构 的 网 页 上 选中 【标记 密 钥 为 可 导出 】 复 选 

框 ， 才 能 申请 该 证 书 。 
因为 导出 私 钥 可 能 使 私 钥 暴露 给 无 关 一 方 ， 所 以 PKCS #12 格式 是 Windows Server 
2003 中 支持 的 导出 证 书 及 相关 私 钥 的 唯一 格式 。 

2) 加密 消息 语法 标准 

PKCS 47 格式 允许 将 证 书 及 证 书 路 径 中 的 所 有 证 书 从 一 台 计 算 机 传输 到 另 一 台 计 算 机 
或 可 移动 媒体 。PKCS #7 文件 通常 使 用 .p7b 扩展 且 与 ITU-T X.509 标准 兼容 。PKCS #7 
允许 一 些 属性 (例如 ， 反 签名 ) 与 签名 相关 ， 而 一 些 属性 (例如 ， 签 名 时 间 ) 可 与 消息 内 容 一 起 
验证 。 

3) DER 编码 的 二 进 制 

ITU-T X.509 中 定义 的 ASN.1 DER( 区 别 编码 规则 ) 与 ITU-T X.209 中 定义 的 ASN.1 
BER( 基 本 编码 规则 ) 相 比 ， 是 一 个 限制 更 严格 的 编码 标准 , 它 构成 了 DER 的 基础 。BER 和 
DER 都 提供 了 独立 于 平台 的 编码 对 象 (如 证 书 和 消息 ) 的 方法 ， 以 便于 其 在 设备 和 应 用 程序 
之 间 的 传输 。 

在 证 书 编码 期 间 ， 多 数 应 用 程序 都 使 用 DER， 因 为 证 书 的 一 部 分 (CertificationRequest 
的 CertificationRequestInfo) 必 须 使 用 DER 编码 ， 才 能 对 其 进行 签名 。 

不 在 运行 Windows Server 2003 计算 机 上 的 证 书 颁发 机 构 也 可 能 使 用 该 格式 ， 因 此 它 
支持 互 操作 性 。DER 证 书 文件 使 用 .cer 扩展 名 。 

4) Base64 编码 的 X.509 

这 种 编码 方式 主要 是 为 使 用 “安全 / 多 用 途 Internet. 邮件 扩展 (S/MIME)” 而 开发 的 
(S/MIME 是 一 种 通过 Internet 传输 二 进 制 附件 的 常用 标准 方法 )。Base64 将 文件 编码 为 
ASCI 文本 格式 ， 这 样 可 以 减少 传送 的 文件 在 通过 Internet 网 关 时 被 损坏 的 几率 ， 同 时 ， 
S/MIME 可 以 为 电子 消息 发 送 应 用 程序 提供 一 些 加 密 安 全 服务 ， 包 括 通过 数字 签名 来 证 明 
原件 ( 非 拒 绝 )， 通 过 加 密 、 身 份 验证 和 消息 完整 性 来 保证 隐私 和 数据 安全 。 

MIME( 多 用 途 Internet. 邮件 扩展 ) 标 准 (RFC 1341 及 其 后 继 者 ) 定 义 了 为 传送 电子 邮件 
而 进行 任意 三 进 制 信息 编码 的 一 种 机 制 。 

由 于 所 有 符合 MIME 标准 的 客户 端 都 可 以 对 Base64 文件 进行 解码 ， 不 在 运行 
Windows Server 2003 计算 机 上 的 证 书 颁发 机 构 也 可 以 使 用 该 格式 ， 所 以 它 支 持 互 操作 性 。 
Base 64 证 书 文 件 使 用 .cer 扩展 名 。 

2. 导入 数据 证 书 

当下 列 情况 发 生 时 ， 我 们 需要 导入 数据 证 书 。 

今 “ 安装 包含 在 由 另 一 个 用 户 、 计 算 机 或 证 书 颁发 机 构 发 送 给 用 户 文件 中 的 证 书 。 

信 ”还 原 受 损 或 丢失 的 以 前 备份 的 证 书 。 

信 ”从 证 书 所 有 者 以 前 使 用 过 的 计算 机 上 安装 证 书 及 其 关联 的 私 钥 。 

下 面 简 要 地 介绍 一 下 导入 数据 证 书 的 操作 步骤 。 导 入 数据 证 书 的 操作 步骤 如 下 。 

o 在 【证 书 颁发 机 构 】 管 理 控制 台 窗 口 的 控制 树 中 ， 选 择 【 个 人 】〗 选 项 ， 右 击 ， 在 弹出 的 快 

捷 菜 单 中 选择 【所 有 任务 】 一 【导入 】〗 命 令 ， 弹 出 【证 书 导入 向 导 】〗 对 话 框 ， 如 图 6-54 

所 示 。 
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a 网 络 安全 大 全 a 


新 任务 板 视图 
sm 


EEBEDOD 


导出 列表 D. 
帮助 0D 


al 
包括 了 所 有 可 对 此 对 象 执行 的 操作 。 


图 6-54 ”打开 证 书 导 入 向 导 
© 进入 【证 书 导入 向 导 】 对 话 框 后 ， 单 击 【下 一 步 】 按 钮 ， 如 图 6-55 所 示 。 


证 书 导入 向 导 ES 
欢迎 使 用 证 书 导 入 向 导 


E 个 | 证 书信 任 列表 和 证 书 吊销 列 
NE 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 6-55 【证 书 导入 向 导 】 对 话 框 


© 在 【要 导入 的 文件 】 向 导 页 中 ， 选 择 需要 导入 的 证 书 文件 ， 并 单 击 【 下 一 步 〗 按 钮 ， 如 
图 6-56 所 示 。 


EEC ES 
要 导入 的 文件 
指定 要 导入 的 文件 。 


文件 名 全 


[E \test-m. sadness. net Sadness. crt [mu] 


注意 : 用 下 列 格式 可 以 在 一 个 文件 中 存储 一 个 以 上 证 书 : 
个 人 信息 交换 - PKCS $12 ( PFX, . P12) 
加 密 消 息 语法 标准 - PKCS #7 证 书 (C FT7B) 
Microsoft 系列 证 书 存储 (SST) 


《上 一 步 @)| 下 一 步 吕 »| mis 


图 6-56 ”选择 需要 导入 的 证 书 文件 
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O 在 [证书 存 储 】 向 导 页 中 ， 选 择 证 书 存放 位 置 。 如 果 要 根据 证 书 类 型 将 证 书 自动 放置 在 证 
书 存 储 区 中 ， 选 中 【根据 证 书 类 型 ， 自 动 选择 证 书 存 储 】 单 选 按 钮 ; 如 果 要 指定 存储 证 书 
的 位 置 ， 选 中 【将 所 有 的 证 书 放 入 下 列 存储 】 单 选 按钮 。 单 击 【 浏 览 〗 按 钮 ， 然 后 选择 要 
使 用 的 证 书 存储 区 。 设 置 完毕 后 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-57 所 示 。 

3 


unu 
证 书 存储 是 保存 证 书 的 系统 区 域 


Windows 可 以 自动 选择 证 书 存储 ， 或 者 您 可 以 为 证 书 指定 一 个 位 置 - 
C 根据 证 书 类 型 BIERES W 
C 将 所 有 的 证 书 放 入 下 列 存 请 QD 


ESSE. 
FX MRD. 
CL E E 
OBESSE O. 


C TA 
Ca ERENER 


《上 一 步 四 | 下 一 C) 全 业 信 任 
C) Parm 
G3 tive Directory AANB 
C) 受信 任 的 发 行者 到 


T 显示 物理 存储 区 G) 


确定 LL] 
图 6-57 ”选择 证 书 存放 位 置 
© 完成 证 书 导入 后 ， 单 击 【 完 成 】 了 按钮， 如 图 6-58 所 示 。 
证 书 导入 向 导 xj 
正在 完成 证 书 导 入 向 导 
您 已 成 功 地 充 成 证 书 导入 向 导 。 
您 已 指定 下 列 设 置 : 


<eo z& ] ww | 


6-58 ”完成 证 书 导入 


3. 导出 数据 证 书 

导入 数据 证 书 就 是 将 证 书 从 使 用 标准 证 书 存储 格式 的 文件 复制 到 用 户 账 户 或 计算 机 账 
户 对 应 的 证 书 存储 区 。 当 下 列 情 况 发 生 时 ， 我 们 需要 导出 数据 证 书 。 

€ dU EB. 

信 ”备份 证 书 及 其 关联 的 私 钥 。 

€ ”复制 证 书 以 便 在 男 一 台 计 算 机 上 使 用 。 

€ ”从 证 书 所 有 者 当前 的 计算 机 上 删除 证 书 及 相关 私 钥 ， 以 便 安装 在 另 一 台 计 算 机 上 。 

下 面 简要 地 介绍 一 下 导出 数据 证 书 的 操作 步骤 。 
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@ 在 [证 书 贫 发 机 构 】 管 理 控制 台 窗 口 的 控制 树 中 ， 选 择 【个 人 了 一 【证 书 】， 在 右 窗 格 中 
选择 相应 的 证 书 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【所 有 任务 】〗】 一 【导出 】 命 令 ， 打 开 证 
书 导出 向 导 ， 如 图 6-59 所 示 。 


` aile 
COC 


图 6-59 打开 证 书 导 出 向 导 
© 在 弹出 的 【证 书 导出 向 导 了 对话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 6-60 所 示 。 


x 
欢迎 使 用 证 书 导出 向导 
"S Mit 


Ge. yn. 


lr e[exmi] 
图 6-60 【证 书 导出 向 导 】 对 话 框 
© 在 【导出 私 钥 ] 向 导 页 中 ， 选 择 导出 私 钥 是 否 受 密 码 保护 。 设 置 完 毕 后 ， 单 击 【 下 一 步 】 
按钮 ， 如 图 6-61 所 示 。 
fessus xj 


Su 
MERTUUREHUDRLARR UE de eth. 


genar. 如 果 要 将 稚 铀 跟 证 书 一 起 导出 ， 您 必须 在 后 面 一 页 上 键入 密 | 


HeTnzrz NI 


图 6-61 选择 导出 私 钥 是 否 受 密码 保护 
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O 如 呆 第 步 先 择 是 导出 私 钥 ， 则 导出 文件 格式 只 能 选择 PKCS #12, dm 6-62 所 示 。 


图 6-62 选择 私 钥 带 密码 保护 
O 如 果 第 人 四 步 选 择 不 要 导出 私 钥 ， 可 以 选择 PKCS #7, BASE64 X d£ DER 格式 ， 如 图 6-63 


所 示 。 


6-63 ”选择 私 钥 不 带 密码 保护 


O 各 果 第 轿 步 选择 导出 私 钥 受 密码 保护 , 则 需要 输入 密码 ,并 单 击 【下 一 步 ] 按 钮 , 如 图 6-64 
所 示 。 


图 6-64 输入 密码 
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QO 在 【要 导出 的 文件 】 向 导 页 中 ， 选 择 输出 的 文件 名 ， 并 单 击 【 下 一 步 〗 按 钮 ， 如 区 


BUR. 
x 


要 导出 的 文件 
指定 要 导出 的 文件 名 。 


文件 名 中 


[Sadness pex MED. 


—m | 


图 6-65 ”指定 输出 的 文件 名 
O 完成 证 书 导 出 后 ， 单 击 【 完 成 了 按钮 ， 如 图 6-66 所 示 。 


EEE 3 ES 
i 正在 完成 证 书 导出 向 导 
B ØE 
[53 您 已 成 功 地 充 成 证 书 导出 向 导 。 
您 已 指 定 下 列 设置 
FS C: \Sadness. pfx 
Sien 


是 
包括 证 书 路 径 中 所 有 证 书 X 
文件 格式 nd 


fie siner E? 
导出 成 功 。 
MET n 


《上 一 步 @) 完成 LL 


图 6-66 完成 导出 


6.2 AAA 体系 结构 


6-65 


应 用 实例 导航 : Sadness 公司 部 署 基于 AAA 身份 认证 


※ 场 景 呈现 


Sadness 公司 随 着 业务 的 发 展 ， 网 络 规模 逐渐 扩大 。 可 惜 每 次 网 络 升级 都 由 不 同 的 运营 
商 完 成 ， 所 有 网 络 设备 的 密码 则 不 尽 相同 。 这 给 网 络 管理 带 来 了 极 大 的 不 便 ， 每 当 网 络 管 


理 部 门 有 人 离职 的 时 候 ， 则 需要 对 原 有 设备 的 所 有 密码 进行 重新 设置 ， 这 对 于 拥有 上 千 
网 络 设 备 的 Sadness 公司 而 言 ， 相 当 困 难 。 同 时 由 于 密码 修改 不 及 时 ， 还 会 导致 很 多 攻击 
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件 的 发 生 。 

当 Sadness 聘请 Jam 担任 网 络 安全 管理 员 后 ，Jam 开始 在 Sadness 公司 内 部 部 署 AAA 
服务 ， 并 根据 不 同 的 用 户 分 配 了 不 同 的 权限 。 通 过 记 账 服务 也 保证 了 Jam 日 后 可 以 对 员工 
的 每 一 项 行为 进行 审计 。 

KAREM 


(1) AAA 体系 结构 ; 

(2) 在 交换 机 或 路 由 器 中 配置 身份 认证 ;， 
(3) 在 交换 机 或 路 由 器 中 配置 授权 ; 

(4) 在 交换 机 或 路 由 器 中 配置 记 账 。 


6.2.1 AAA 概述 


AAA 指 的 是 认证 (Authentication)、 授 权 (Authorization) 和 统计 记 账 (Accounting)。 自 网 络 
诞生 以 来 ， 认 证 、 授 权 以 及 记 账 体制 (AAA) 就 成 为 其 运营 的 基础 。 网 络 中 各 类 资源 的 使 用 ， 
需要 由 认证 、 授 权 和 记 账 进行 管理 , 而 AAA 的 发 展 与 变迁 自始至终 都 吸引 着 运营 商 的 目光 。 
对 于 一 个 商业 系统 来 说 ， 认 证 是 至 关 重 要 的 ， 只 有 确认 了 用 户 的 身份 ， 才 能 知道 所 提供 的 
服务 应 该 向 谁 收费 ， 同 时 也 能 防止 非法 用 户 ( 黑 客 ) 对 网 络 进 行 破坏 。 在 确认 用 户 身 份 后 ， 根 
据 用 户 开户 时 所 申请 的 服务 类 别 ， 系 统 可 以 授予 客户 相应 的 权限 。 最 后 ， 在 用 户 使 用 系统 
资源 时 ， 需 要 有 相应 的 设备 来 统计 用 户 对 资源 的 占用 情况 ， 据 此 向 客户 收取 相应 的 费用 。 
kt 中 ， 认 证 是 指 用 户 在 使 用 网 络 系统 中 的 资源 时 对 用 户 身份 的 确认 。 这 一 过 程 通过 与 
用 户 的 交互 获得 身份 信息 (诸如 ， 用 户 名 -口令 组 合 、 生 物 特征 获得 等 )， 然 后 提交 给 认证 服 
务 器 ， 后 者 对 身份 信息 与 存储 在 数据 库 里 的 用 户 信息 进行 核对 处 理 ， 然 后 根据 处 理 结果 确 
认 用 户 身份 是 否 正 确 。 例 如 ，GSM( 全 球 通 ) 移 动 通信 系统 能 够 识别 其 网 络 内 网 络 终端 设备 的 
标志 和 用 户 标志 。 授 权 网 络 系统 授权 用 户 以 特定 的 方式 使 用 其 资源 ， 这 一 过 程 指定 了 被 认 
证 的 用 户 在 接 入 网 络 后 能 够 使 用 的 业务 和 拥有 的 权限 ， 如 授予 的 IP 地 址 等 。 仍 以 GSM f£ 
动 通信 系统 为 例 ， 认 证 通过 的 合法 用 户 ， 其 业务 权限 (是 否 开通 国际 电话 主 叫 业务 等 ) 是 用 户 
和 运营 商 在 事前 已 经 协议 确立 的 。 统 计 记 账 网 络 系统 收集 、 记 录用 户 对 网 络 资源 的 使 用 ， 
以 便 向 用 户 收取 资源 使 用 费用 ， 或 者 用 于 审计 等 目的 。 以 互联 网 接 入 业务 供应 商 ISP. 为 例 ， 
用 户 的 网 络 接 入 使 用 情况 可 以 按 流量 或 者 时 间 被 准确 记录 下 来 。 
AAA 是 一 种 体系 结构 ， 用 来 以 一 致 的 方式 配置 一 组 三 种 独立 的 安全 功能 。 它 提供 了 模 
块 化 的 执行 方式 来 进行 身份 认证 、 授 权 和 记 账 统计 服务 ， 如 图 6-67 所 示 。 

AAA 体系 结构 的 优点 如 下 。 

o 通常 需要 一 台 或 一 组 服务 器 ( 称 为 安全 服务 器 ) 来 存储 用 户 名 和 密码 , 而 不 用 在 每 台 

路 由 器 上 配置 和 更 新 。 

今 “ 支 持 TACACS+、RADIUS 和 Kerberos 标准 安全 协议 。 

今 “ 人 允许 配置 多 个 备用 系统 , 例如 ， 先 访问 安全 服务 器 , 如 果 报 错 ， 再 查看 本 地 数据 库 。 

+ 户 名 和 密码 不 以 明文 形式 出 现 。 
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图 6-67 AAA 体系 结构 


1. 身份 认证 


身份 认证 是 在 允许 用 户 访问 网 络 和 网 络 服务 之 前 对 其 身份 进行 识别 的 一 种 方法 ， 包 括 
登录 和 口令 、 询 问 和 应 答 、 消 息 支 持 和 加 密 。 通 过 定义 一 个 身份 认证 方法 的 命名 列表 并 将 
其 应 用 于 各 个 接口 来 配置 协议 。 身 份 认证 的 协议 支持 TACACS+、 RADIUS、Kerberos 标准 

TACACS+ 是 Cisco 公司 的 私有 协议 ， 而 RADIUS 是 一 种 开放 标准 ， 两 者 的 不 同 之 处 主 
要 在 于 TACACS+ 分 离 了 认证 、 授 权 和 记 账 的 功能 ， 另 外 ，TACACS+ 使 用 TCP 协议 ， 而 
RADIUS 使 用 UDP 协议 。RADIUS 是 目前 支持 无 线 验 证 协议 的 唯一 安全 协议 。 

RADIUS 是 一 个 分 布 式 客户 /服务 器 系统 ， 典 型 的 RADIUS 客户 端 是 NAS( 网 络 接 入 服 
务 器 )， 而 服务 器 端 通常 是 一 个 运行 在 UNIX 或 者 Windows 系统 上 的 守护 进程 。 客 户 端 将 用 
户 信息 传递 给 指定 的 RADIUS 服务 器 ， 服 务 器 负责 接收 用 户 连 接 请 求 、 验 证 用 户 是 否 合 法 ， 
并 将 向 用 户 提供 的 服务 信息 返回 给 客户 端 。 

我 们 可 以 定义 一 个 方法 列表 使 用 不 同 的 协议 来 对 用 户 身份 进行 认证 。 例 如 ， 在 图 6-68 
中 ,管理 员 可 以 定义 一 个 方法 列表 , 首先 从 RADIUS 1 中 获取 身份 认证 信息 ,然后 是 RADIUS 
2、TACACS+ 1, TACACS+ 2. 假如 用 户 先 在 RADIUS 1 上 认证 通过 , 则 可 以 访问 内 部 网 络 ， 
如 果 RADIUS 1 失败 ， 则 返回 Error 认证 失败 消息 ， 按 顺序 验证 RADIUS 2、TACACS+ 1、 
TACACS+ 2。 全 部 认证 失败 后 ， 则 拒绝 通过 。 当 然 在 其 中 任何 一 步 如 果 认 证 失败 ， 则 直接 
返回 认证 失败 消息 ， 终 止 对 话 。 


Radius 1 


Radius2 


a 
Remote 


Access Router 
worker 


TACACS+1 


TACACS+2 


6-68 身份 认证 
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2. 授权 
授权 是 为 远程 访问 控制 提供 方法 ， 包 括 一 次 性 授权 或 者 每 种 服务 的 授权 等 ， 单 个 用 户 
的 统计 列表 和 概述 ， 以 及 用 户 组 支持 协议 的 授权 等 。AAA 授权 通过 一 系列 属性 来 作用 于 
户 ， 这 些 属 性 描述 了 用 户 被 授权 执行 的 操作 。 系 统 将 这 些 属 性 同 包 含 在 数据 库 中 的 指定 
户 信息 比较 ， 将 结果 返回 给 AAA， 从 而 确定 该 用 户 实际 拥有 的 权限 和 所 受 的 约束 。 数 据 库 
通常 存放 在 RADIUS 或 者 TACACS+ 安 全 服务 器 上 , 它们 通过 将 用 户 与 属性 值 (AV) 相 关联 来 
给 予 用 户 相应 的 权限 。 所 有 的 授权 方法 都 必须 通过 AAA 定义 。 
3. 记 账 
记 账 是 提供 收集 和 发 送 用 于 计 费 、 审 计 、 制 作 报表 的 安全 服务 器 信息 的 方法 。 统 计 的 
内 容 包括 用 户 身 份 、 开 始 和 结束 时 间 、 所 执行 命令 、 分 组 数 和 字 节 数 等 。 记 账 使 得 管理 员 
可 以 容易 地 记录 用 户 正在 访问 的 服务 以 及 它们 占用 的 网 络 资源 量 。 当 AAA 记 账 激活 时 ， 网 
络 服务 器 便 开 始 以 统计 记录 的 形式 向 RADIUS 或 者 TACACS+ 服 务 器 发 送 用 户 的 活动 状态 
等 信息 。 每 个 统计 记录 均 被 储存 ， 它 们 将 被 用 于 对 客户 记 账 或 者 对 员工 操作 进行 审计 等 。 
当然 , AAA 在 支持 TACACS+、RADIUS、Kerberos 标准 安全 协议 时 也 遇 到 以 下 一 些 问 题 。 
€ Kerberos 不 支持 AAA 中 的 授权 和 记 账 。 
* TACACS+， 是 Cisco 专 有 协议 运行 于 TCP 上， 能 对 有 效 负 载 进行 加 密 ， 能 控制 用 
户 权限 等 级 ， 可 将 认证 和 授权 分 开 ， 因 此 可 使 用 TACACS+ 进 行 授权 和 记 账 ， 而 用 
其 他 方法 进行 认证 。 
信 RADIUS 运行 于 UDP 上 ， 只 对 密码 进行 加 密 ， 不 能 控制 用 户 权 限 等 级 ， 不 可 将 验 
证 和 授权 分 开 。 
目前 ， 业 界 用 的 最 为 广泛 的 协议 为 RADIUS， 并 且 RADIUS 可 以 在 Windows 上 由 微软 
IAS, Cisco ACS 或 Linux 的 RADIUS 服务 提供 ， 它 们 的 详细 配置 方法 将 在 6.3 节 中 介绍 。 


6.2.2 配置 AAA 身份 认证 


um 
(s 


AAA 身份 认证 通常 有 登录 身份 认证 、PPP( 点 对 点 协议 ) 身 份 认 证 、NASI( 异 步 服务 接口 ) 
身份 认证 、ARA(Appletalk 远程 访问 协议 ) 身 份 认证 等 4 种 方式 。 通 常 我 们 所 使 用 的 网 络 中 
NASI 和 ARA 需求 很 少 ， 因 此 我 们 将 着 重 讲 解 AAA 配置 登录 身份 认证 和 PPP. 身份 认证 的 
方法 。 

1. AAA 配置 登录 身份 认证 

AAA 安全 服务 使 得 大 量 的 登录 身份 认证 变 得 容易 ， 再 也 不 会 因为 员工 离职 而 大 批量 更 
改 密码 ， 只 需 在 安全 认证 服务 器 上 删除 该 员工 账号 即 可 。AAA 配置 登录 认证 的 方式 较为 简 
单 ， 均 可 使 用 aaa authentication login 命令 启动 。 

AAA 配置 登录 身份 认证 时 ， 可 以 采用 本 地 口令 进行 身份 认证 ， 也 可 以 采用 RADIUS 进 
行 登录 身份 认证 ， 下 面 分 别 介绍 这 两 种 认证 的 配置 方法 。 

1) ”使 用 本 地 口令 进行 身份 认证 
O 在 交换 机 或 路 由 器 的 全 局 配置 模式 下 ， 启 用 AAA. 
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Router (config)#aaa new-model 


由 于 使 用 本 地 口令 进行 身份 认证 ， 接 着 需要 定义 本 地 口令 数据 库 、 分 配 用 户 权 限 、 


码 加 密 服务 ， 使 得 配置 文件 中 密码 不 以 明码 方式 储存 。 


Router (config)#username cisco password cisco 
Router (config)#username cisco privilege 15 
Router(config)itservice password-encryption 

Router (config)#username cisco access-class 1 
Router (config)#username cisco autocommand show run 


创建 AAA 认证 方法 列表 . 


Router (config)#aaa authentication login default line 


如 果 使 用 线路 口令 进行 身份 认证 ， 首 先 需要 配置 线路 口令 ， 再 启用 用 户 登 录 功能 。 


Router (config)#line vty 0 4 

Router (config-line)#password cisco 

Router (config-line)#login 

Router (config-line)#login authentication {default | list name} 


配置 使 用 enable 口令 进行 登录 身份 认证 。 


Router (config)#enable secret cisco 
Router (Config)#aaa authentication login default enable 


2) “使 用 RADIUS 进行 身份 认证 
在 交换 机 或 路 由 器 的 全 局 配置 模式 下 ， 启 用 AAA. 


Router (config)#aaa new-model 


启用 密 


由 于 使 用 RADIUS 进行 登录 身份 认证 ， 首 先 需要 在 路 由 器 上 指定 相应 的 RADIUS 服务 器 或 


者 RADIUS 服务 器 组 。 如 果 网 络 中 只 有 一 台 RADIUS 服务 器 ， 则 指定 方法 如 下 。 


Router (config)#radius-server host 10.0.0.2 auth port 1645 acct-port 1646 


如 果 网 络 中 只 有 多 台 RADIUS 服务 器 ， 需 要 指定 RADIUS 服务 器 组 ， 方 法 如 下 。 


Router (config)#aaa group server radius sadnessradius 
Router(config-sg-radius)sserver 10.0.0.1 
Router(config-sg-radius)sserver 10.0.0.2 
Router(config-sg-radius)sserver 10.0.0.3 


将 服务 器 或 服务 器 组 映射 到 AAA 认证 方法 中 。 


Router (config)#aaa authentication login default radius 


Router (config)#aaa authentication login default group sadnessradius 


有 时 候 网 络 设备 出 现 故障 进行 维修 时 ， 无 法 连接 到 RADIUS 服务 器 ， 则 在 使 用 RADIUS 服 
务 器 时 ， 需 要 在 RADIUS 认证 后 面 加 入 local 或 者 enable 或 者 line 的 认证 方式 ， 以 方便 维 


修 人 员 能 够 本 地 连接 上 设备 。 


Router (config)#aaa authentication login default radius local 


© 当然， 有 时 候 网 络 管理 员 也 可 以 选择 使 用 身份 本 地 覆盖 功能 ， 身 份 本 地 覆盖 功能 允许 Cisco 


IOS 在 尝试 其 他 认证 方式 前 ， 优 先 使 用 本 地 认证 。 


Router (config)#aaa authentication local-override 
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Q 与 使 用 本 地 口令 进行 身份 认证 一 样 ,将 身份 认证 方法 列表 使 用 在 相应 的 接口 上 或 使 用 enable 


2. 利用 AAA 配置 PPP 身份 认证 


很 多 时 候 ， 网 络 故 障 发 生 在 深夜 ， 管 理 员 通常 需要 在 家 中 通过 ISDN( 综 合 业务 数字 网 ) 
或 者 传统 电话 (PSTN) 远 程 连接 到 网 络 中 进行 网 络 配置 和 故障 处 理 ， 此 时 通常 使 用 的 协议 


是 PPP。 
1) PPP 协议 简介 


PPP(Point-to-Point Protocol, 点 对 点 协议 ) 是 为 在 同等 单元 之 间 传 输 数据 包 的 简单 链 路 设 
计 的 链 路 层 协议 。 这 种 链 路 提供 全 双 工 操作 ， 并 按照 顺序 传递 数据 包 。 设 计 目 的 主要 是 用 
来 通过 拨号 或 专线 方式 建立 点 对 点 连接 发 送 数据 ， 使 其 成 为 各 种 主机 、 网 桥 和 路 由 器 之 间 
简单 连接 的 一 种 共通 的 解决 方案 。 目前 大 多 数 模拟 拨号 连接 都 采用 PPP 作为 数据 链 路 协议 。 

PPP 协议 中 提供 了 一 整套 方案 来 解决 链 路 建立 、 维 护 、 拆 除 、 上 
问题 。PPP 和 串 行 线路 因特网 协议 (SLIP) 常 常 使 人 混淆 ，PPP 在 很 多 方面 都 优 于 SLIP， 其 中 
最 重要 的 一 点 是 它 的 可 扩展 性 ，SLIP 仅仅 支持 卫 协议 , 而 PPP 支持 IP、IPX 以 及 AppleTalk 
等 多 协议 。PPP 由 封装 方法 (HDLC)、 链 路 控制 协议 (Link Control Protocol，LCP) 和 网 络 控制 
协议 (Network Control Protocol, NCP) 3 个 组 件 组 成 。 

2) PPP 链 路 建立 过 程 

一 个 典型 的 PPP 链 路 建立 过 程 分 为 创建 阶段 、 认 证 阶段 和 网 络 协商 阶段 3 个 阶段 。 


€ 第 1 阶段 


层 协 议 协 商 、 认 证 等 


创建 PPP 链 路 。LCP 负责 创建 链 路 。 在 这 个 阶段 ， 将 对 基本 的 通信 


方式 进行 选择 。 链 路 两 端 设 备 通过 LCP( 链 路 控制 协议 ) 向 对 方 发 送 配置 信息 包 。 一 
旦 一 个 配置 成 功 信息 包 被 发 送 且 被 接收 ， 就 完成 了 交换 ， 进 入 了 LCP 开启 状态 。 
应 当 注 意 ， 在 链 路 创建 阶段 ， 只 是 对 认证 协议 进行 选择 ， 用 / 


实现 。 


= 认证 将 在 第 2 阶段 


€ 第 2 阶段 一 一 用 户 验 证 。 在 这 个 阶段 ， 客 户 端 会 将 自己 的 身份 发 送 给 远 端的 接 入 
服务 器 。 该 阶段 使 用 一 种 安全 验证 方式 避免 第 三 方 窃 取 数据 或 冒充 远程 客户 接管 


与 客户 端的 连接 。 
果 认 证 失败 ， 认 记 


在 认证 完成 之 前 ， 禁 止 从 认证 阶段 前 进 到 网 络 层 协议 阶段 。 如 
FE 者 应 该 跃迁 到 链 路 终止 阶段 。 在 这 一 阶段 里 ， 只 有 和 链 路 控制 协 


议 、 认 证 协议 和 链 路 质量 监视 协议 的 信息 包 是 被 允许 的 。 在 该 阶段 里 接收 到 的 其 


他 的 数据 包 必 须 被 静 静 地 丢弃 。 最 常用 的 认证 协议 有 口令 验证 协议 PAP) 和 挑战 - 


握手 验证 协议 (CH 
* 第 3 阶段 


AP). 


调用 网 络 层 协议 。 认 证 阶段 完成 之 后 , PPP 将 调 月 


日 在 链 路 创建 阶段 (第 


1 阶段 ) 选 定 的 各 种 网 络 控制 协议 NCP)。 选 定 的 NCP 用 于 解决 PPP 链 路 之 上 的 高 


层 协 议 问题 。 例 如 


3) PPP 认证 


， 在 该 阶段 IP 控制 协议 IPCP) 可 以 向 拨 入 


用 户 分 配 动态 地 址 。 


这 样 ， 经 过 3 个 阶段 以 后 ， 一 条 完整 的 PPP 链 路 就 建立 起 来 了 。 


PPP 认证 可 以 采用 口令 认证 协议 Password Authentication Protocol，PAP) 和 挑战 -握手 验 
证 协议 (Challenge-Handshake Authentication Protocol，CHAP) 两 种 认证 方式 。 
是 一 种 简单 的 明文 验证 方式 。NAS( 网 络 接 入 服务 器 ，Network 


信 PAP 协议 : PAP 
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Access Server) 要 求 用 户 提 供用 户 名 和 口令 ，PAP 以 明文 方式 返回 用 户 信息 。 很 明 
显 ， 这 种 验证 方式 的 安全 性 较 差 .第 三 方 可 以 很 容易 获取 被 传送 的 用 户 名 和 口令 ， 
并 利用 这 些 信息 与 NAS 建立 连接 获取 NAS 提供 的 所 有 资源 。 所 以 ， 一 旦 用 户 密 
码 被 第 三 方 窃 取 ，PAP 无 法 提供 避免 受到 第 三 方 攻击 的 保障 措施 。 
* CHAP 协议: CHAP 是 一 种 加 密 的 验证 方式 , 能 够 避免 建立 连接 时 传送 用 户 的 真实 
密码 。NAS 向 远程 用 户 发 送 一 个 挑战 口令 , 其 中 包括 会 话 ID 和 一 个 任意 生成 的 
战 字 串 。 和 远程 客户 必须 使 用 MDS 单 向 哈 希 算法 返回 用 户 名 和 加 密 的 挑战 口令 ,会 
话 ID 以 及 用 户口 令 ， 其 中 用 户 名 以 非 哈 希 方式 发 送 。CHAP 对 PAP 进行 了 改进 ， 
不 再 直接 通过 链 路 发 送 明文 口令 ， 而 是 使 用 挑战 口令 以 哈 希 算法 对 口令 进行 加 密 。 
因为 服务 器 端 存 有 客户 的 明文 口令 ， 所 以 服务 器 可 以 重复 客户 端 进 行 的 操作 ， 并 
将 结果 与 用 户 返 回 的 口令 进行 对 照 。CHAP 为 每 一 次 验证 任意 生成 一 个 挑战 字 串 
来 防止 受到 再 现 攻 击 。 在 整个 连接 过 程 中 ，CHAP 将 不 定时 地 向 客户 端 重复 发 送 
挑战 口令 ， 从 而 避免 第 三 方 冒 充 远程 客户 进行 攻击 。 
4) 利用 AAA 配置 PPP 身份 认证 
AAA 配置 PPP 身份 认证 与 AAA 配置 登录 身份 认证 相似 ， 既 可 以 采用 本 地 口令 进行 身 
份 认 证 ， 也 可 以 采用 RADIUS 进行 身份 认证 。 下 面 分 别 介绍 这 两 种 认证 的 配置 方法 。 
1) ”使 用 本 地 口令 进行 身份 认证 
Q 在 全 局 配置 模式 下 ， 启 用 AAA。 


Router (config)#aaa new-model 


© 如 果 使 用 本 地 口令 进行 身份 认证 ， 需 要 定义 本 地 口令 数据 库 。 


Router (Config)#username cisco password cisco 


© 分 配 用 户 权限 并 启用 密码 加 密 服务 ， 使 得 配置 文件 中 的 密码 不 以 明码 方式 储存 。 
Router (config)#username cisco privilege 15 
Router (config)#service password-encryption 
O 当然 还 可 以 使 用 一 些 可 选 属性 ， 例 如 使 用 访问 控制 列表 控制 登录 地 址 ， 或 者 设置 登录 后 自 
动 执 行 的 命令 等 。 
Router (config)#username cisco access-class 1 
Router (config)#username cisco autocommand show run 


© 完成 如 上 配置 后 ， 创 建 AAA 认证 方法 . 


Router (config)#aaa authentication ppp default local 


Q 将 配置 的 身份 认证 方法 列表 并 使 用 在 相应 的 接口 上 . 


Router (config)#interface Seriall/0 

Router (config-if)#encapsulation ppp 

Router (config-if)#ppp authenticaition {pap | chap | chap pap | pap chap} 
(default | listname} 


2) ”使 用 RADIUS 进行 身份 认证 
Q 在 全 局 配置 模式 下 ， 启 用 AAA. 


Router (config) #aaa new-model 
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e 由 于 采用 RADIUS 进行 身份 认证 ， 首 先 还 需要 在 路 由 器 上 指定 相应 的 RADIUS 服务 器 或 者 
RADIUS 服务 器 组 。 指 定单 个 RADIUS 服务 器 的 方法 如 下 。 


Router(config)itradius-server host 10.0.0.2 auth port 1645 acct-port 1646 


指定 RADIUS 服务 器 组 的 方法 如 下 。 


Router (config)#aaa group server radius sadnessradius 
Router(config-sg-radius)&sserver 10.0.0.1 
Router(config-sg-radius)tsserver 10.0.0.2 
Router(config-sg-radius)fserver 10.0.0.3 


© 将 服务 器 或 服务 器 组 映射 到 AAA 认证 方法 中 。 


Router (config)#aaa authentication ppp default radius 
Router (config)#aaa authentication ppp default group sadnessradius 


O 如 果 有 时 候 网 络 设备 出 现 故 障 进 行 维修 ， 无 法 连接 到 RADIUS 服务 器 ， 则 在 使 用 RADIUS 
恨 务 器 的 时 候 ， 我 们 通常 还 会 在 方法 列表 中 RADIUS 认证 的 后 面 加 入 local 或 者 enable 或 
者 line 的 认证 方式 ， 以 方便 维修 人 员 能 够 本 地 连接 上 设备 。 

Router (config)#aaa authentication ppp default radius local 

OQ 将 配置 的 身份 认证 方法 列表 使 用 在 相应 的 接口 上 . 

3. 使 用 双重 身份 认证 

双重 身份 认证 为 PPP 会 话 提供 了 额外 的 身份 认证 。 按 照 前 面 的 配置 ，PPP 仅 使 用 单个 
身份 认证 方法 (PAP 或 者 CHAP) 进 行 认证 。 而 双重 身份 认证 是 指 当 用 户 通过 PPP 认证 后 ， 还 
将 通过 第 2 阶段 的 认证 。 

第 2 阶段 认证 需要 一 条 用 户 知道 单位 存储 在 用 户 的 远 端 主机 上 的 口令 ， 因 此 第 2 阶段 
身份 认证 针对 的 是 用 户 本 身 ， 并 且 第 2 阶段 认证 可 以 使 用 一 次 性 口令 等 CHAP 不 支持 的 方 
式 ， 可 以 很 好 地 提高 系统 的 安全 性 。 

例如 ，Jam 通过 PPP 建立 i 点 到 公司 网 络 设备 的 链接 后 ， 即 便 是 通过 了 认证 ， 他 
也 需要 telnet 到 网 络 访问 服务 器 ， 进行 身份 认证 , 然后 Jam 必须 输入 access-profile 命令 用 于 
AAA 重新 授权 。 即 便 是 配置 了 autocommand access-profile，Jam 也 需要 telnet 到 本 地 主机 并 
登录 才能 完成 双重 身份 认证 。 关 于 授权 将 在 6.2.3 节 详 细 介 绍 。 

4. 使 用 AAA 特权 保护 


一 旦 攻击 者 拥有 路 由 器 特权 模式 密码 ， 将 可 以 直接 修改 路 由 器 的 所 有 配置 ， 其 后 果 是 
难以 想像 的 ， 因 此 我 们 有 必要 采用 一 定 的 方式 来 对 特权 模式 进行 保护 ， 其 配置 方法 如 下 。 


Router (config)#aaa authentication enable default method1 [method2..] 


四 点 评 与 拓展 : Jam 通过 配置 AAA 身份 认证 使 得 Sadness 公司 在 网 络 管理 员 离 职 后 
不 需要 大 量 更 改 服务 器 密码 ， 仅 需要 Jam 通过 RADIUS 服务 器 删除 该 员工 账号 即 可 。 新 的 
员工 加 入 公司 ， 也 只 需要 添加 一 个 新 的 RADIUS 账号 。 路 由 器 等 设备 的 本 地 账号 仅 能 作为 
网 络 管理 部 门 负责 人 Jam 独自 掌握 ， 这 样 设备 的 安全 性 获得 了 很 大 的 提高 。 
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6.2.3 配置 AAA 授权 


AAA 授权 能 让 管理 员 限 制 用 户 可 以 使 用 的 服务 ， 针 对 Sadness 公司 不 同 部 门 的 网 络 管 


理 员 ，Jam 可 以 为 他 们 选择 不 同 的 权限 。 完 成 AAA 授权 配置 后 ， 用 户 只 能 被 允许 使 用 其 用 
户 配置 文件 中 所 允许 的 服务 。 
Q 在 全 局 配置 模式 下 ， 启 用 AAA. 


© 


Router (config)#aaa new-model 


创建 授权 方法 。 


Router (config)#aaa authentication login default group radius 

Router (config)#aaa authentication ppp default if-needed group radius 
Router (config)#aaa authorization exec default group radius 

Router (config)#aaa authorization network default group radius 
if-authenticated 


通过 ACL 配置 用 户 其 访问 权限 。 

Router (config)#access-list 110 permit tcp any any eq telnet 
Router (config) #access-list 110 permit tcp any any eq ftp 
Router (config) #access-list 110 permit tcp any any eq ftp-data 
Router (config) #access-list 110 deny tcp any any 


需要 再 配置 RADIUS 服务 器 ， 引 用 上 面 的 配置 的 ACL 110。 下 面 的 例子 是 在 Cisco ACS 中 
配置 的 例子 。 


<CiscoACS>$/opt/ciscosecure/CLI/AddProfile -p 9900 -u Jam -pw pap. cisco -a 
'radius=Cisco{\nreply attributes={\n6=2\n7=1\n9, 1="ip:inacl=110"}\n}\n' 


下 面 的 配置 是 Cisco ACS 验证 RADIUS 服务 器 的 配置 文件 的 片段 。 
«CiscoACS»$/opt/ciscosecure/CLI/ViewProfile -p 9900 -u rad dial 
User Profile Information 

user - Jam ( 

profile id - 62 

profile cycle - 1 

password = pap "炎炎 炎炎 炎炎 

radius-Cisco ( 

reply attributes- ( 

6-2 

721 

9, 1s"ip:inacl-110" 

} 

} 

} 


将 配置 的 身份 认证 方法 列表 使 用 在 相应 的 接口 上 . 


Router (config)#line vty 0 4 
Router (config-line)# authorization commands 0 default 


6.2.4 配置 AAA 记 账 


AAA 记 账 是 提供 收集 和 发 送 用 于 记 账 、 审 计 、 制 作 报表 的 安全 服务 器 信息 的 方法 。 记 


账 的 内 容 包括 用 户 身 份 、 开 始 和 结束 时 间 、 所 执行 命令 、 分 组 数 和 字 节 数 等 。 记 账 使 得 管 
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理 员 可 以 简单 地 记录 用 户 正在 访问 的 服务 以 及 它们 占用 的 网 络 资源 量 . 当 AAA 记 账 激活 时 ， 
网 络 服务 器 便 开 始 以 统计 记录 的 形式 向 RADIUS 或 者 TACACS+ 服 务 器 发 送 用 户 的 活动 状 
态 等 信息 。 每 个 统计 记录 均 被 储存 ， 它 们 将 被 用 于 对 客户 计 费 或 者 对 员工 操作 进行 审计 等 。 
AAA 记 账 包括 如 下 几 个 组 件 。 

* Network: 提供 所 有 pppsliparap 会 话 信息 ， 包 括 数据 包 数 和 字 节 数 
Connection: 提供 从 网 络 中 发 起 的 所 有 外 出 连接 (例如 telnet、andrlogin) 的 信息 。 
EXEC: 提供 接 入 服务 器 上 的 用 户 EXEC 会 话 的 信息 ， 包 括 用 户 名 、 日 期 、 起 始 和 
结束 时 间 、 接 入 服务 器 IP、 主 叫 方 电话 等 。 

* System: 提供 所 有 的 系统 级 事件 。 

* Commands: 提供 在 网 络 接 入 服务 器 上 执行 的 特定 权限 级 别 的 EXEC 外 壳 。 

€ ”资源 统计 ， 提供 了 用 户 身 份 验证 的 呼叫 的 起 始 和 终止 记录 。 

计 目 的 不 同 ， 配 置 方法 也 不 相同 。 下 面 简要 地 介绍 对 用 户 的 行为 进行 审计 的 配 


Router (config)# aaa accounting exec default start-stop group radius 


置 方 
o POR 可 执行 如 下 命令 。 
e 


若 要 对 用 户 所 用 命令 进行 审计 ， 可 执行 如 下 命令 。 


Router (config)#aaa accounting commands 1 default start-stop group radius 
Router (config)#aaa accounting commands 15 default start-stop group radius 


© 若 机 在 线路 上 应 用 审计 ， 可 执行 如 下 命令 。 


Router (Config)# line vty 0 4 

Router (config-line)# accounting commands 1 default 
Router (config-line)# accounting commands 15 default 
Router (config-line)# accounting exec default s 


加 点 评 与 拓展 : Jam 通过 配置 授权 和 记 账 给 不 同 的 网 管 员 赋予 了 不 同 的 权限 ， 并 且 
Jam 可 以 轻易 地 从 记 账 报告 中 查询 网 管 员 的 登录 是 否 合理 ， 所 使 用 的 命令 是 否 安全 等 .通过 
AAA 的 实施 ，Sadness 公司 网 络 设备 的 管理 和 维护 变 得 异常 方便 。AAA 的 配置 在 很 大 程度 
上 依赖 RADIUS 服务 器 ， 在 6.3 节 我 们 将 详细 介绍 RADIUS 服务 器 的 安装 和 配置 。 


6.3 配置 RADIUS 服务 器 


6.3.1 RADIUS 简介 


1. RADIUS 简介 


RADIUS(Remote Authentication Dial In User Servicee， 远 程 认 证 拨号 用 户 服 务 ) 是 RFC 
2865 和 RFC 2866 中 描述 的 业界 标准 协议 ， 用 于 提供 身份 验证 、 授 权 和 记 账 统计 服务 。 
RADIUS 客户 端 是 网 络 访问 服务 器 (Network Access Server，NAS)， 它 通常 是 一 台 路 由 器 、 
交换 机 、 拨 号 服务 器 、VPN 服务 器 或 无 线 访问 点 ， 它 以 RADIUS Ñ mom RADIUS 
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服务 器 发 送 用 户 凭据 和 连接 参数 信息 。RADIUS 服务 器 对 RADIUS 客户 端 请 求 进行 身份 
验证 和 授权 ， 并 发 回 RADIUS 消息 响应 。RADIUS 客户 端 也 向 RADIUS 服务 器 发 送 
RADIUS 记 账 统计 消息 ， 如 图 6-69 所 示 。 另 外 ，RADIUS 标准 支持 使 用 RADIUS 代理 ， 


它 是 在 启用 RADIUS 的 计算 机 之 间 转 发 RADIUS 消息 的 计算 机 。 


RADIUS 消息 作为 用 户 数据 报 协议 (UDP) 消息 被 发 送 。UDP 端口 1812 用 于 发 送 


RADIUS 身份 验 i 
问 服务 器 可 能 会 使 用 UDP 端口 1645 发 送 RADIUS 身份 验证 消息 ， 而 使 用 UDP 端 


消息 ，UDP 端口 1813 用 于 发 送 RADIUS 记 账 统计 消息 。 有 些 网 络 访 


1646 发 送 RADIUS 记 账 统计 消息 。 


" [sua s 丁丁 可 古本 | 
一 一 
2 NAS 图 返回 允许 接 入 包 或 拒绝 接 入 包 
六 
©| | 收 
请 | | 或 
求 | | 拒 
接 | | 绝 
入 | 请 


QA HU. DA 
等 ) 验证 请 求 包 


6-69 RADIUS 连接 示意 图 


2. RADIUS 消息 类 型 
RFC2865 和 RFC2866 定义 了 以 下 RADIUS 消息 类 型 。 


p 


p 
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接 入 -请 求 (Access-Request): 由 RADIUS 客户 端 发 送 请 求 对 连接 尝试 进行 身份 验 
证 和 授权 。 

接 入 -接收 (Access-Accepb: 由 RADIUS 服务 器 发 送 ， 以 响应 “ 接 入 -请 求 ” 消 息 ， 
此 消息 通知 RADIUS 客户 端 已 对 连接 尝试 进行 身份 验证 和 授权 。 

接 入 -拒绝 (Access-Reject): 由 RADIUS 服务 嚣 发送， 以 响应 “ 接 入 -请 求 ” 消 息 ， 
此 消息 通知 RADIUS 客户 端 连接 尝试 被 拒绝 , 如 果 凭 据 未 被 验证 或 连接 尝试 未 被 
授权 ，RADIUS 服务 器 将 发 送 此 消息 。 

接 入 -质询 (Access-Challenge): 由 RADIUS 服务 器 发 送 ， 以 啊 应 “ 接 入 -请 求 ” 消 
息 ， 此 消息 是 对 需要 响应 的 RADIUS 客户 端的 质询 。 

记 账 统计 -请 求 (Accounting-Requesb: 由 RADIUS 客户 端 发 送 ， 为 接受 的 连接 指 
定 记 账 统计 信息 。 
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今 “ 记 账 统计 - 啊 应 (Accounting-Response): 由 RADIUS 服务 器 发 送 ， 以 响应 “ 记 账 统 
计 - 请 求 ” 消 息 ， 此 消息 确认 对 记 账 统计 请 求 消息 的 成 功 接受 和 处 理 。 
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RADIUS fJ 
* ŽP 


协议 的 主要 特点 
议 有 以 下 几 项 主要 特点 。 


(op 器 模式 : 网 络 接 入 服务 器 作为 RADIUS 


的 客户 端 ， 负 责 将 用 户 信息 传 


递 给 指定 的 RADIUS 服务 器 , 然后 根据 返回 信息 进行 操作 。RADIUS 服务 器 负责 


接收 用 户 连 接 请 求 ， 认 证 用 户 后 ， 返 回 所 有 必要 的 
供 服务 。 


€ Miu 


配置 信息 以 便 客 户 端 为 用 户 提 


RADIUS 服务 器 可 以 作为 其 他 RADIUS 服务 器 或 认证 服务 器 的 代理 。 


全 : 客户 端 与 RADIUS 记 账 统计 服务 器 之 间 


的 通信 是 通过 共享 密 钥 来 鉴别 


的 ， 这 个 共享 密 钥 不 会 通过 网 络 传送 。 此 外 ， 任 何 用 户口 令 在 客户 机 和 RADIUS 服 


务 器 间 


发 送 时 都 需要 进行 加 密 过 程 ， 以 避免 有 人 通过 


嗅 探 非 安全 网 络 得 到 用 户 密码 。 


今 “ 灵 活 认 证 机 制 : RADIUS 服务 器 支持 多 种 用 户 认 证 方法 。 当 用 户 提 供 了 用 户 名 和 原 
台 口 令 后 , RADIUS 服务 器 可 支持 PPP PAP 或 CHAP、UNIX 登录 和 其 他 认证 机 制 。 
可 扩充 性 : 所 有 的 事务 都 是 由 不 同 长 度 的 “属性 -长 度 - 值 ”三 元 组 构成 的 。 


分 ”协议 的 
新 属性 
4. RADIUS 


值 的 加 入 不 会 影响 到 原 有 协议 的 执行 。 
的 工作 过 程 


RADIUS 协议 旨 在 简化 认证 流程 ， 其 典型 认证 工作 过 程 如 图 6-69 所 示 ， 具 体 如 下 。 

(1) 用 户 输入 用 户 名 、 密 码 等 信息 到 客户 端 或 连接 到 NAS。 

Q) 客户 端 或 NAS 产生 一 个 接 入 -请 求 报 文 到 RADIUS 服务 器 ， 其 中 包括 用 户 名 、 口 
令 、 客 户 端 (NAS)ID 和 用 户 访问 端口 的 ID。 口 令 经 过 MDS 算法 进行 加 密 。 

(3) RADIUS 服务 器 通过 查询 认证 数据 库 对 用 户 进行 认证 。 

(4) 若 认 证 成 功 ，RADIUS 服务 器 向 客户 端 或 NAS 发 送 允 许 接 入 报 文 ， 和 否则 发 送 拒绝 


接 入 报 文 。 


(5) 若 客户 端 或 NAS 接收 到 允许 接 入 报 文 ， 则 为 用 户 建立 连接 ， 对 用 户 进行 授权 和 提 
供 服 务 ， 若 接收 到 拒绝 接 入 报 文 ， 则 拒绝 用 户 的 连接 请 求 ， 结 束 协商 过 程 。 
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服务 


部 署 RADIUS 并 不 困难 ， 有 几 种 途径 可 以 实现 ， 选 择 哪 种 途径 取决 于 用 户 的 网 络 采 用 
的 操作 系统 。 如 果 是 Microsoft 产品 ， 可 以 使 用 Internet 认证 服务 (Internet Authentication 
Services，IAS) 来 部 署 RADIUS， 其 操作 重点 在 于 对 域 的 设置 。 如 果 使 用 的 是 Linux， 则 有 
许多 免费 的 软件 包 , 例如 IC-RADIUS、FreeRADIUS 等 .另外 , Cisco 也 提供 Cisco Secure ACS 
服务 器 用 于 TACACS+ 和 RADIUS 的 认证 。 
下 面 我 们 将 分 为 3 个 小 节 来 分 别 介绍 微软 IAS、Cisco Secure ACS 以 及 Linux RADIUS 


的 安装 与 配置 方法 。 
6.3.2 ”微软 IAS 


一 台 安 装 IAS 的 Windows Server 2003 服务 器 可 以 扮演 RADIUS 服务 器 或 RADIUS 代 
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理 服务 器 的 角色 。 作 为 RADIUS 服务 器 ,IAS 服务 器 执行 多 种 类 型 网 络 访问 的 集中 式 连 接 
身份 验证 、 授 权 和 记 账 统计 ， 这 些 访问 类 型 包括 无 线 、 身 份 验 证 交换 机 、 拨 号 和 虚拟 专 
网 (VPN) 远 程 访问 以 及 路 由 器 对 路 由 器 连接 。 作 为 RADIUS 代理 ，IAS 服务 器 向 其 他 
RADIUS 服务 器 转发 身份 验证 和 记 账 统计 消息 。IAS 完成 支持 RADIUS 的 Internet 工程 
任务 组 (IETF) 标 准 RFC 2865 和 RFC 2866. 

IAS 服务 器 允许 使 用 各 种 无 线 、 交 换 机 、 远 程 访问 或 VPN 设备 ， 可 以 将 DAS 服务 器 
与 路 由 和 远程 访问 服务 配合 使 用 ， 对 这 些 用 户 进行 身份 验证 、 授 权 和 记 账 统计 。 

如 果 IAS 服务 器 是 Active Directory 域 的 成 员 ， 则 IAS 服务 器 使 用 目录 服务 作为 其 用 
户 账户 数据 库 ， 并 且 是 单一 登录 解决 方案 的 一 部 分 。 同 一 组 凭据 可 用 于 网 络 访问 控制 (对 网 
络 进行 身份 验证 和 授权 访问 )， 并 可 以 登录 到 Active Directory 域 。 


1. IAS 工作 模式 


IAS 服务 器 可 以 作为 RADIUS 服务 器 也 可 以 作为 RADIUS 代理 服务 器 。 
1) RADIUS 服务 器 
当 IAS 服务 器 用 作 RADIUS 服务 器 时 ， 将 Internet 认证 服务 (IAS) 器 用 作 RADIUS 服 
务 器 时 ， 它 提供 以 下 功能 。 
分 RADIUS 客户 端 发 送 的 所 有 访问 /请 求 的 集中 的 身份 验证 和 授权 服务 。IAS 服务 器 
使 用 域 、Active Directory 域 或 本 地 “安全 账户 管理 器 ”(SAM) 来 验证 进行 连接 尝 
试 的 用 户 凭据 。IAS 服务 器 使 用 用 户 账户 和 远程 访问 策略 的 拨 入 属性 对 连接 进行 
授权 。 
信 RADIUS 客户 端 发 送 的 所 有 记 账 统计 请 求 的 集中 的 记 账 统计 记录 服务 。 记 账 统计 
请 求 存储 在 本 地 日 志文 件 中 以 便 进行 分 析 。 
图 6-70 显示 了 作为 各 种 访问 客户 端的 RADIUS 服务 器 和 RADIUS 代理 的 IAS 服务 
Wt. IAS 服务 器 使 用 Active Directory 域 , 对 传 入 的 RADIUS “ 接 入 -请 求 ”消息 的 用 户 凭 
据 进行 身份 验证 。 
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协议 
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代理 服务 器 
TAs 
服务 器 
S Directory 
域 控制 器 
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RADIUS 消息 通过 以 下 方式 为 网 络 访问 连接 提供 身份 验证 、 授 权 和 记 账 统计 。 
访问 服务 器 ， 例 如 拨号 网 络 访问 服务 器 、VPN 服务 器 以 及 无 线 访问 点 ， 接 收 来 自 


访问 客户 端的 连接 请 求 。 


被 配置 为 使 用 RADIUS 作为 身份 验证 、 授 权 和 记 账 统计 协议 的 访问 服务 器 , 创建 


“ 接 入 -请 求 ”消息 ， 并 将 其 发 送 到 TAS 服务 器 。 
LAS 服务 器 对 “ 接 入 -请 求 ”消息 进行 评估 。 


如 果 需 要 ，IAS 服务 器 将 向 访问 服务 器 发 送 “ 接 入 -质询 ”消息 ， 访 问 服务 器 处 理 


质询 ， 并 向 IAS 服务 器 发 送 更 新 的 “ 接 入 -请 求 ”。 


通过 使 用 与 域 控制 器 的 安全 连接 ， 可 以 检查 用 户 凭据 ， 获 得 用 户 账户 的 拨 入 


使 用 用 户 账 户 的 拨 入 属性 和 远程 访问 策略 对 连接 尝试 进行 授权 。 


属性 ; 


如 果 已 对 连接 尝试 进行 身份 验证 和 授权 ， 那 么 IAS 服务 器 将 向 访问 服务 器 发 送 
“ 接 入 -接受 ”消息 ， 如 果 未 对 连接 尝试 进行 身份 验证 或 授权 ,那么 IAS 服务 器 


将 向 访问 服务 器 发 送 “ 接 入 -拒绝 ”消息 。 


访问 服务 器 完成 与 访问 客户 端的 连接 处 理 ， 并 向 消息 登录 的 LAS 服务 器 发 送 “ 记 


账 统计 -请 求 ” 消 息 。 
IAS 服务 器 向 访问 服务 器 发 送 “ 记 账 统计 -响应 ”。 
RADIUS 代理 服务 器 


IAS 服务 器 也 可 以 用 作 RADIUS 代理 服务 器 ， 以 便 提 供 RADIUS 客户 端 和 RADIUS 
服务 器 之 间 的 RADIUS 消息 的 路 由 。 用 作 RADIUS 代理 服务 器 时 , IAS 服务 器 是 RADIUS 
访问 消息 和 记 账 统计 消息 流 经 的 中 心切 换 点 或 路 由 点 。 

图 6-71 显示 了 作为 RADIUS 客户 端 (访问 服务 器 ) 和 RADIUS 服务 器 (或 另 一 个 RADIUS 
代理 ) 之 间 的 RADIUS 代理 的 IAS 服务 器 。 


当 IAS 服务 器 
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通过 以 下 方式 转发 网 络 连接 尝试 的 RADIUS 消息 。 


作 RADIUS 客户 端 和 RADIUS 服务 器 之 间 的 RADIUS 代理 时 ， 将 
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* ”访问 服务 器 (例如 拨号 网 络 访问 服务 器 、VPN 服务 器 以 及 无 线 访 问 点 ) 接 收 来 自 访 
问 客户 端的 连接 请 求 。 

信 ”被 配置 为 将 RADIUS 用 作 身 份 验证 、 授 权 和 记 账 统计 协议 的 访问 服务 器 ， 将 会 创 
建 访问 请 求 消息 ， 并 将 其 发 送 到 正 被 用 作 IAS RADIUS 代理 的 IAS 服务 器 。 

* IAS RADIUS 代理 服务 器 接收 访问 请 求 消息 , 并 基于 本 地 配置 的 连接 请 求 策略 确定 
将 访问 请 求 消息 转发 到 哪里 。 

信 IASRADIUS 代理 服务 器 将 访问 请 求 消息 转发 到 相应 的 RADIUS 服务 器 。 

* RADIUS 服务 器 对 访问 请 求 消 息 进行 评估 。 

信 ”如 果 需 要 ，RADIUS 服务 器 将 向 IAS RADIUS 代理 服务 器 发 送 访问 质询 消息 ， 在 
此 处 ， 此 消息 将 被 转发 到 访问 服务 器 ; 访问 服务 器 通过 访问 客户 端 处 理 质询 ， 并 
向 IAS RADIUS 代理 服务 器 发 送 更 新 的 访问 请 求 ， 在 此 处 ， 该 请 求 将 被 转发 到 
RADIUS 服务 器 。 

* RADIUS 服务 器 对 连接 尝试 进行 身份 验证 和 授权 。 

今 “ 如 果 已 对 连接 尝试 进行 身份 验证 和 授权 ,RADIUS 服务 器 将 向 IAS RADIUS 代理 
服务 器 发 送 访问 -接受 消息 ， 在 此 处 ， 该 消息 将 被 转发 到 访问 服务 器 ;如果 未 对 连 
接 尝 试 进行 身份 验证 或 授权 , RADIUS 服务 器 将 向 IAS RADIUS 代理 服务 器 发 送 
访问 -拒绝 消息 ， 在 此 处 ， 该 消息 将 被 转发 到 访问 服务 器 。 

信 访问 服务 器 完成 与 访问 客户 端的 连接 进程 ， 并 向 IAS RADIUS 代理 发 送 记 账 统计 
请 求 消息 。 IAS RADIUS 代理 服务 器 记录 记 账 统计 数据 , 并 向 RADIUS 服务 器 转 
发 此 消息 。 

* RADIUS 服务 器 向 IAS RADIUS 代理 服务 器 发 送 记 账 统 计 响 应 消息 ， 在 此 处 ， 此 
响应 将 被 转发 到 访问 服务 器 。 

2. 安装 IAS 

IAS 是 Windows Server 2003 组 件 之 一 ， 其 安装 过 程 很 简单 ， 具 体 如 下 所 述 。 

o 依次 单 击 【开始 】 一 【控制 面板 】〗】 一 【添加 或 删除 程序 】 菜 单 ， 在 打开 的 【添加 或 删除 程 

序 】〗 窗 口中 ， 单 击 【 添 加 /删除 Windows 组 件 】 图 标 ， 如 图 6-72 所 示 。 
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图 6-72 【添加 或 删除 程序 】 窗 口 


© 在 【Windows 组 件 向 导 】〗 对 话 框 中 ， 
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在 【组 件 】 列 表 框 中 选择 【网 络 服务 】 选 项 ， 然 后 单 


击 【 详 细 信 息 】 按 钮 ， 在 弹出 的 【网 络 服 务 】〗 对 话 框 中 选择 【Intemet 验证 服务 】〗】 选 项 ， 如 


图 6-73 所 示 。 


© xke s uox. REE Windows 组 件 向 导 中 单 击 【 下 一 步 】 按 钮 ， 直 到 完成 IAS 


的 安装 。 


Tindors HPAES ES 


pum Windows 的 组 件 。 
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局 司库 用 程序 服务 “网络 服务 的 子 组 件 O: 


Omarr |O 


pe asst MERTEM 
F E rem Internet 《名称 服务 (INS) 0.9 Mb 
O BASENEM ocr) 0.0 mB 
o 时 简单 TCP/IP 服务 


所 需 磁 盘 空间 : 
可 用 磁盘 空间 : 


0.0 Mb 
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O 依次 单 击 【 开 始 】- 【程序 】- EELA] 【Internet 验证 服务 】 菜 单 ， 打 开 【Internet 
验证 服务 】 控 制 台 窗口 ， 通 过 该 控制 台 窗 口 就 可 以 进行 IAS 的 配置 了 ， 如 图 6-74 所 示 。 


[— -» [mimi 


由 C) 运程 访问 记录 
aF 远程 访问 第 略 


cC ERRER 


1) KOLM Internet 验证 服务 


nt ns Dc. 


L ye Dir: 
= vien Acti Juss qp 


zt TS、 融雪 情 况 和 疑难 解答 的 详细 信息 ， 请 参 
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3. 注册 IAS 


?^ IAS 注册 到 Active Directory 后 ， 它 将 读 取 Active Directory 中 的 用 户 账 户 。 当 用 户 以 
AD 用 户 账户 身份 连接 时 ，IAS 服务 器 将 向 域 控 制 器 查询 用 户 账号 信息 ， 确 定 用 户 是 否 有 连 
接 权 限 。 注 册 IAS 可 按 如 下 步骤 进行 。 
© 打开 [intemet 验证 服务 】 控 制 台 窗口 ， 右 键 单 击 【Internet 验证 服务 】 图 标 ， 在 弹出 的 快捷 
菜单 中 选择 【在 Active Directory 中 注册 服务 器 】 命 令 ， 如 图 6-75 所 示 。 
pInternet 验证 服务 E 
文件 中 ”操作 WW SEV EHW 
“| 四 | 儿 | 久 | 
BR GU 


i5 C] RADUS 客户 请 
M-I M 


c Xy 远程 访问 第 略 在 Active Directory 中 注册 服务 器 O 
Ep] Eo , 
mio 
帮助 


图 6-75 [internet 验证 服务 】 控 制 台 窗口 


© 在 打开 的 【在 Active Directory 中 注册 “Intemet 验证 服务 器 ”】〗 对 话 框 中 ， 单 击 【 确 定 】 
按钮 ， 如 图 6-76 所 示 。 


ES 
Ez TAS 来 对 Active Directory 中 的 用 户 进 行 身份 验证 ， 运行 IAS BOLVESEULUARR DEGERE RE P TER 


你 要 授予 该 计算 机 具有 从 sadness net 域 读 职 用户 拔 入 慰 性 的 权限 吗 ? 
[RE x» 


图 6-76 【在 Active Directory 中 “注册 Internet 验证 服务 器 ”】 对 话 框 


© 也 可 以 直接 运行 命令 行 来 注册 IAS 服务器， 如 图 6-77 所 示 。 
C: WINDOWS systen32Vcnd. exe -»lAnl xl 
K:*Documento and Sottinge Ndniniotrator notoh rac add 7 m 
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3. Hr 
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6-77 ”以 命令 行 注册 Internet 验证 服务 
4. 添加 /删除 RADIUS 客户 端 
IAS 服务 器 无 论 在 RADIUS 服务 器 模式 ， 或 者 RADIUS 代理 服务 器 模式 ， 都 必须 指定 
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其 RADIUS 客户 端 ， 因 为 它们 只 接受 这 些 指定 的 RADIUS 客户 端 传 来 的 连接 请 求 ， 并 提供 


相应 


的 服务 。 添 加 RADIUS 客户 端的 方式 如 下 。 


@ 打开 pese 验证 服务 】 控制 台 窗 口 ， 右 键 单 击 【RADIUS 客户 端 〗】 图 标 ， 在 弹出 的 快捷 


菜单 中 选择 【新 建 RADIUS 客户 端 〗 命令， 将 弹出 【新 建 RADIUS 客户 端 〗 对 话 框 ， 如 
图 6-78 所 示 。 


XAD WEO SEV HHO 
e-+ om e nre 


. 2 we um sao 此 视图 中 没有 可 显示 的 项 目 . 
由 过 SLE C13 , 

r 请 
cC) ERR fr " 


图 6-78 添加 RADIUS 客户 端 


在 【名 称 和 地 址 】〗】 向 导 页 中 ， 为 RADIUS 客户 端 输入 名 称 及 其 IP 地 址 ， 并 单 击 【 下 一 步 】 
按钮 ， 如 图 6-79 所 示 。 
fae ons wra o 


|  EHTHE 
' SRABRERLENS, MEPR IP 地 址 或 DRS 和 名。 


HERD D: [Fuine Radiot ont 
客户 六 地 址 GIF 或 DIS) 0): 
[por ceo 


:-—*w[r-sm»] mm 


6-79 【新 建 RADIUS 客户 端 〗】 对 话 框 


在 【其 他 信息 】 向 导 页 中 ,选择 客户 端 -供应 商 和 共享 机 密 。 如 果 是 Windows Server 系列 服 
务 器 ， 则 选择 Microsoft; 如 果 是 Cisco 生产 的 NAS， 则 选择 Cisco; 当 不 知道 设备 是 哪个 供 
应 商 时 ， 选 择 RADIUS Standard。【〖 共 享 的 机 密 】 是 设置 RADIUS 客户 端 访问 LAS. 的 密码 
选项 ， 当 使 用 PAP. CHAP. MS-CHAP 以 及 MS-CHAP v2 进行 身份 验证 时 ， 启 用 消息 验 
证 程序 属性 可 以 提供 附加 的 安全 性 。 默 认 情况 下 ，EAP 使 用 消息 验证 程序 属性 ， 因 而 不 要 
求 启 用 该 属性 。 设置 完毕 后 单 击 【 下 一 步 】 按 钮 ， 如 图 6-80 所 示 。 


O 重复 上 述 步 最， 可 以 指定 多 台 RADIUS 客户 端 


© 


在 需要 作为 RADIUS 客户 端的 设备 上 配置 RADIUS。 以 Cisco 路 由 器 为 例 ， 可 以 使 用 
radius-server host 命令 来 配置 ， 其 中 的 “key” 就 是 我 们 设置 的 “共享 机 密 ” 密 码 。 


Router (config)#radius-server host 10.0.0.2 auth port 1645 acct-port 1646 key 
Cisco 


如 果 需 要 删除 一 个 RADIUS 客户 端 ， 则 在 详细 信息 窗 格 中 ， 右 键 单 击 要 删除 的 客户 端 ， 然 
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后 在 弹出 的 快捷 菜单 中 选择 【删除 】 命 令 ， 如 图 6-81 所 示 。 
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图 6-80 设置 客户 端 及 共享 机 密 
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5. 配置 RADIUS 代理 服务 器 


通常 仅 有 一 台 RADIUS 服务 器 是 相对 不 安全 的 ， 当 这 人 台 服 务 器 受到 攻击 下 线 后 ， 所 有 
将 无 法 使 用 身份 认证 。 如 果 受 到 攻击 时 有 多 台 RADIUS 服务 器 ， 则 可 以 使 用 负载 均衡 ， 


降低 被 攻陷 的 可 能 性 。 在 这 种 情况 下 , 通常 将 一 台 IAS 服务 器 设置 成 RADIUS MEM ， 
同时 把 另外 几 台 IAS 服务 器 设 设置 为 RADIUS 服务 器 。 配置 RADIUS 代理 服务 器 由 IAS 的 “ 连 

接 请 求 策略 ”功能 来 设置 。 连 接 请 求 策 略 是 条 件 和 配置 文件 设置 的 集合 ， 网 络 管 ER AU 
使 用 连接 请 求 策略 ， 灵活 地 配置 置 IAS 服务 器 处 理 传 入 的 身份 验证 和 记 账 统计 请 求 消息 的 方 


is 


使 用 连接 请 求 策略 ， 可 以 创建 一 系列 的 策略 ， 从 而 可 以 在 本 地 处 理 从 RADIUS 客户 端 


发 送 的 某 些 RADIUS 请 求 消 息 (IAS HE RADIUS 服务 器 )， 并 可 以 将 其 他 类 型 的 消息 转发 
至 另 一 台 RADIUS 服务 器 (IAS 用 作 RADIUS 代理 )。 使 用 此 功能 可 以 在 多 种 新 RADIUS 77 
案 中 配置 IAS 服务 器 。 


e 


配置 RADIUS 代理 服务 器 的 方法 如 下 。 

TH [Intemet 验证 服务 】 控 制 台 窗口 ， 在 【连接 请 求 处 理 】〗 下 右键 单 击 【 远 程 RADIUS 服 
务 器 组 〗 图 标 ， 在 弹出 的 快捷 菜单 中 选择 【新 建 远程 RADIUS 服务 器 组 】 命 令 ， 如 图 6-82 
所 示 。 

在 新 建 远 程 RADIUS 服务 器 组 向 导 中 直接 单 击 【 下 一 步 】 按 钮 。 在 【新 配置 方法 】 向 导 页 
中 ， 选 择 服务 器 组 的 类 型 和 组 名 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 6-83 所 示 。 
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6-83 ”选择 服务 器 的 类 型 和 组 名 


© 在 【添加 服务 器 】 向 导 页 中 ， 设 置 主 服务 器 和 备份 服务 器 的 IP 地 址 ， 以 及 服务 器 组 的 共享 
密码 。 设 置 完 毕 后 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-84 所 示 。 
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图 6-84 设置 主 服 务 器 和 备份 服务 器 


@@ 完成 新 建 远程 RADIUS 服务 器 组 向 导 后 ,显示 确认 设置 信息 ， 单 击 【完成 按钮 如 图 6-85 
所 示 。 

O 关 在 第 @@ 步 中 选中 【 当 此 向 导 关 闭 时 启动 “新 建 连 接 请 求 策略 向 导 ”]】 复 选 框 ， 将 打开 新 
建 连 接 请 求 策略 向 导 ， 直 接 单 击 【 下 一 步 】 按钮。 在 【策略 配置 方法 】 向 导 页 中 ， 定 义 策 
略 并 输入 策略 名 。 设 置 完毕 后 ， 单 击 【下 一 步 】 按 钮 ， 如 图 6-86 所 示 。 


LA me 


s 网 络 安全 大 全 a 


EI 


SGSXWERUIUEDESGH. ROSSO TN. 


SERERE" W 


waaar 


=] 


Æ 6-85 完成 配置 


3 
欢迎 侠 用 新 建 连 按 清 求 证 临 疝 导 
re 
p 

TOPs 

m 
dino" 


Lr m 
EIU DB ARERO CORN 


d 
Ee 
CC) 


De 
mw 


PUD: HUBS ESSERE E 


cr-ee[r-*w;] xw 


6-86 新建 连接 请 求 策略 向 导 


Q 在 [请求 身份 验证 】 向 导 页 中 ， 选 中 【转发 连接 请 求 到 远程 RADIUS 服务 器 作 身 份 验证 】 
单 选 按钮 ， 并 单 击 【下 一 步 〗 按 钮 。 在 【领域 名 】 向 导 页 中 ， 输 入 领域 名 并 选 定 前 面 定义 
的 RADIUS 服务 器 组 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 6-87 所 示 。 
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Q 完成 新 建 连接 请 求 策略 向 导 后 ， 显 示 确 认 设 置信 息 ， 单 击 【 完 成 】 按 钮 。 

O 如 果 需 要 定义 新 的 连接 策略 ,我 们 可 以 在 【Internet 验证 服务 】 控制 台 窗口 中 , 依次 选择 【和 连 
接 请 求 处 理 】 一 【连接 请 求 策略 〗 一 【对 所 有 用 户 使 用 】 选 项 ， 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 【属性 】 命 令 ， 如 图 6-88 所 示 。 
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6-88 连接 请 求 策略 


© 在 图 6-88 中 ， 可 以 看 到 匹配 的 是 “星期 一 到 星期 日 的 00:00-24:00”。 然 后 单 击 【编辑 配置 
文件 】 按钮 ， 在 打开 【编辑 配置 文件 】 的 对 话 框 中 选中 【把 请 求 转发 到 下 面 的 远程 RADIUS 
服务 器 组 作 身 份 验 证 〗 单 选 按 钮 ， 如 图 6-89 所 示 。 
EET 
身份 验证 | 记 帐 | 属性 |a | 
选择 对 符合 此 策略 中 指定 条 件 的 连接 请 求 的 身份 验证 方法 。 


[E ] m | _smw | 
图 6-89 【编辑 配置 文件 】 对 话 框 
QD 如 果 网 络 中 有 多 台 RADIUS 服务 器 ， 还 可 以 设置 远程 RADIUS 服务 器 组 .设置 方法 是 ， 在 
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[internet 验证 服务 】 控 制 人 台 窗 口中 ， 选 择 【 连 接 请 求 处 理 〗 一 【远程 RADIUS 服务 器 组 】 
选项 ， 再 用 鼠标 右键 单 击 配置 的 Sadness Radius Group 选项 ， 在 弹出 的 快捷 菜单 中 选择 【 属 
性 】 命 令 ; 在 弹出 的 对 话 框 中 ， 单 击 【添加 】 按 钮 为 服务 器 组 添加 新 的 RADIUS 服务 器 ， 

如 图 6-90 所 示 。 


P Internet 验证 服务 --inixi 
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图 6-90 添加 新 的 RADIUS 服务 器 

QD 用 户 还 可 以 添加 新 RADIUS 服务 器 的 优先 级 。 设 置 方法 是 ， 用 鼠标 右键 单 击 其 中 一 全 服务 

器 ， 在 弹出 的 快捷 菜单 中 选择 【〖 属 性】 命令 ， 切 换 到 【负载 平衡 〗 选 项 卡 ， 设 置 不 同 的 负 
载 分 担 方式 ， 如 图 6-91 所 示 。 

ES 


地 址 | 身份 验证 / 记 帐 ”负载 平衡 | 
蕊 先 级 别 指出 服务 器 的 状态 。 主 服务 器 的 忧 先 级 为 1. 


BRARETUSESTISUTIMDCD S crat 
taw: | T sse [ © 
高 级 设置 


在 这 些 秒 数 后 没有 反应 ,就 认为 请 求 被 放弃 QD : 3 
在 这 些 被 放弃 的 请 求 数 后 ,就 认为 服务 器 不 存在 W : E 


在 请 求 间隔 这 些 秒 数 后 ， 就 认为 服务 器 不 存在 U: | 5 


取消 mmo | 


6-91 配置 RADIUS 服务 器 组 负载 平衡 
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至 此 ,我 们 完成 了 基于 微软 IAS 的 RADIUS 服务 器 配置 ,下 面 一 节 将 介绍 Cisco 的 Secure 
ACS 服务 器 配置 方案 。 


6.3.3 Cisco Secure ACS 


1. Cisco Secure ACS 简介 


Cisco Secure ACS (ACS，Access Control Server) 是 具 高 可 扩展 性 的 高 性 能 访问 控制 服务 
器 ， 可 作为 集中 的 RADIUS 和 TACACS+ 服务 器 运行 。Cisco Secure ACS 将 验证 、 用 户 访 
间 和 管理 员 访 问 与 策略 控制 结合 在 一 个 集中 的 身份 识别 网 络 解决 方案 中 ， 因 此 提高 了 灵活 
性 、 移 动 性 、 安 全 性 和 用 户 生 从 而 进一步 增强 了 访问 安全 性 。 它 针对 所 有 用 户 执行 
统一 安全 策略 ， 不 受用 户 网 络 访问 方式 的 影响 ， 减 轻 了 与 扩展 用 户 和 网 络 管理 员 访问 权限 
相关 的 管理 负担 。 通 过 对 所 有 用 户 账户 使 用 一 个 集中 数据 库 ，Cisco Secure ACS 可 集中 控制 
所 有 的 用 户 权 限 并 将 它们 分 配 到 网 络 中 的 几 百 甚至 几 千 个 接 入 点 。 对 于 记 账 统计 服务 , Cisco 
Secure ACS 针对 网 络 用 户 的 行为 提供 具体 的 报告 和 监控 功能 ， 并 记录 整个 网 络 上 每 次 的 访 
问 连接 和 设备 配置 变化 。 这 个 特性 对 于 企业 遵守 Sarbanes Oxley 法 规 尤 其 重要 。Cisco Secure 
ACS 支持 广泛 的 访问 连接 ， 包 括 有 线 /无 线 局 域 网 、 宽 带 、 内 容 、 存 储 、IP 上 的 语音 (VoIP)、 
防火 墙 和 VPN 等 。 

Cisco Secure ACS 是 思科 基于 身份 验证 的 网 络 服务 LUBNS) 架 构 的 重要 组 件 。Cisco IBNS 
基于 802.1x (用 于 基于 端口 的 网 络 访问 控制 的 IEEE 标准 ) 和 可 扩展 验证 协议 (EAP) 等 端口 安 
全 标准 , 并 将 安全 验证 、 授 权 和 记 账 统计 (AAA) 从 网 络 外 围 扩 展 到 了 LAN 中 的 每 个 连接 点 。 
您 可 在 这 个 全 新 架构 中 部 署 新 的 策略 控制 工具 (如 每 个 用 户 的 配额 、VLAN 分 配 和 访问 控制 
列表 (ACL))， 这 是 因为 思科 交换 机 和 无 线 接 入 点 的 扩展 功能 可 用 于 在 RADIUS 协议 上 查询 
Cisco Secure ACS. 

Cisco Secure ACS 也 是 思科 网 络 准 入 控制 NAC) 架 构 的 重要 组 件 。 思 科 NAC 是 思科 系 
统 公司 锡 助 的 业界 计划 ， 使 用 网 络 基础 设施 迫使 试图 访问 网 络 计算 资源 的 所 有 设备 遵守 安 
全 策略 ， 进 而 防止 病毒 和 蠕虫 造成 损失 。 通 过 NAC， 客 户 只 允许 遵守 安全 策略 的 可 信 的 端 
点 设备 访问 网 络 (如 PC、 服务 器 和 个 人 数字 助理 等 )， 并 可 限制 违规 设备 的 访问 。 思 科 NAC 
是 思科 自 防 御 网 络 计 划 的 一 部 分 ， 为 在 第 二 层 和 第 三 层 网 络 上 实现 网 络 准 入 控制 商定 了 基 
础 。 我 们 计划 进一步 扩展 端点 和 网 络 安全 性 的 互 操作 性 ， 以 便 将 动态 的 事故 抑制 功能 包含 
在 内 。 这 个 创新 将 允许 遵守 安全 策略 的 系统 组 件 报告 攻击 期 间 因 恶意 系统 或 受 感染 的 系统 
导致 的 资源 误 用 。 因 此 ， 用 户 可 将 受 感染 的 系统 与 其 他 网 络 部 分 动态 隔离 开 ， 从 而 大 大 减 
少 病毒 、 蠕 虫 及 混合 攻击 的 传播 。 

2. 安装 Cisco Secure ACS 


与 一 般 软 件 一 样 ，Cisco Secure ACS 的 安装 过 程 非常 简单 
置 即 可 ， 下 面 简要 地 介绍 其 安装 过 程 。 

在 Cisco 网 站 上 下 载 Cisco Secure ACS for Windows， 双 击 Setup.exe 开始 安装 ， 如 图 6-92 

所 示 。 


只 需 根据 安装 向 导 做 简单 配 
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Æ 6-92 安装 Cisco Secure ACS 4.0 


© 在 是 否 同 意 Cisco Secure ACS 的 软件 协议 窗口 中 ， 单 击 ACCEPT 按钮 继 装 ， 如 图 6-93 


所 示 。 
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图 6-93 安装 Cisco Secure ACS 4.0 


e 在 出 现 欢迎 界面 后 ， 直 接 单 击 Next 按钮 。 如 果 系 统 已 经 安装 了 微软 IAS 服务 器 ， 则 安装 时 
会 提示 是 否 禁 用 IAS。 这 是 由 于 RADIUS 使 用 相同 的 默认 端口 ， 同 时 运行 两 个 RADIUS 服 
务 器 进程 会 出 现 一 些 问 题 ， 我 们 建议 用 户 如 果 选 择 Cisco Secure ACS 服务 器 ， 则 选择 禁用 
IAS， 如 图 6-94 所 示 。 

Q ARAN IAS 后 ， 系 统 会 要 求 自动 重启 ， 单 击 【确定 】 按 钮 并 重新 启动 服务 器 。 然 后 再 次 
运行 Setup.exe 进行 Cisco Secure ACS 安装 。 在 安装 前 选择 终端 用 户 能 够 成 功 连接 到 AAA 
客户 端 ， 并 选择 Windows 服务 器 是 否 能 够 ping 通 AAA 客户 端 ， 同时 还 可 以 选择 任何 使 用 
Cisco IOS 系统 的 AAA 客户 端 能 够 被 支持 等 ， 然 后 单 击 Next 按钮 ， 如 图 6-95 所 示 。 

[5] 选择 Cisco Secure ACS 的 安装 路 径 ， 确 认 后 单 击 Next 按钮 ; 接着 选择 Cisco Secure ACS 是 
否 使 用 本 地 独立 数据 库 ， 或 者 同 时 检查 Windows 用 户 数 据 库 ， 为 了 更 好 的 兼容 性 和 管理 特 
性 ， 这 里 选中 Also check the Windows User Database 单 选 按钮 。 单 击 Next 按钮 ， 系 统 开始 
安装 ， 如 图 6-96 所 示 。 
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Welcome to the CiscoSecure ACS Setup progam. This program 
wil instal CiscoSecure ACS on your computer. 


We strongly recommend that you est al Windows programs 
before running this Setup program. 


Click Cancel lo quit Setup and then close any progams you have 
unning Cick Nest to continue wih the Setup program. 
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图 6-94 是 否 禁 用 IAS 


BEFORE YOU BEGIN, the following items must be 
complete: 


T7. Enduser cients can successfully connect to AAA clients 
T7. This Windows Server can ping the AAA clients 


T. Any Cisco IOS AAA clients are running Cisco IOS release 
11.1 or later 


K Ee ne aec pA 


When you have completed all of these items, check each one 
and then cick Next. 


If these items have not been completed. do not 


with the installation of CiscoSecure ACS. 
Click Cancel and complete these items. 


Exin» | <Back Cancel | 
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O 完成 安装 后 , 将 设置 高 级 选项 , 用户 可 以 根据 自己 的 需求 进行 设置 ,确认 后 单 击 Next 按钮 。 
接着 ， 系 统 会 询问 是 否 通过 邮件 通知 等 设置 ， 确 认 后 单 击 Next 按钮 ， 如 图 6-97 所 示 。 


pum x 


Select which advanced options to be displayed in the 
CiscoSecure ACS user interface. 


IV. User Level Network Access Restrictions 
IV. Group Level Network Access Restrictions 


| 


| 
图 6-97 ”设置 高 级 选项 
O 系统 提示 用 户 输入 ACS 管理 账户 密码 ,确认 密码 无 误 后 ， 单 击 Next 按钮 ， 如 图 6-98 所 示 。 


CiscoSecure ACS Service Initiation xj 


Enter a password for ACS Intemal Database encryption. The 
password should be at least 8 characters long and should 
contain both characters and digits. 


Note: This password may have to be used when critical 
problems arise and the database needs to be accessed 
manually. Keeps paced hend so that ecc supat 
can gain access to the database. 


图 6-98 设置 密码 
© 完成 安装 后 使 用 ACS， 并 且 询 问 用户 是 否 在 安装 完成 后 阅读 用 户 文档 等 信息 ， 确 认 后 单 击 
Finish 按钮 。 至 此 ，Cisco Secure ACS 安装 完毕 ， 并 且 可 以 在 浏览 器 地 址 栏 中 输入 


http://ACS-server-ip:2002, 访问 ACS 服务 器 并 对 其 在 本 地 访问 http://127.0.0.1:2002/ 对 Cisco 
Secure ACS 进行 配置 。 


由 于 刚 安装 好 的 ACS 服务 器 没有 管理 员 账 号 ， 因 此 只 能 在 ACS 服务 器 上 本 地 访问 
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http://ACS-server-ip:2002/ 直 接 就 可 以 进入 ACS 配置 主 界面 ， 如 图 6-99 所 示 。 
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Cisco Srsreus Cisco Secure ACSv4.0 


国 wo Select "Log Off" to end the administration session. 
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Ciscosecure ACS v4.0 offers support for multiple AAA Clients and 
advanced TACACS* and RADIUS features. It also supports several 
methods of authorization, authentication, and accounting (AAA) 
including several one-time-password cards. For more information on 
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图 6-99 Cisco Secure ACS 4.0 主 界面 


从 图 6-99 中 ， 我 们 可 以 看 到 Cisco Secure ACS for Windows 主 界面 分 为 两 部 分 ， 其 左 侧 
一 排 按钮 为 配置 导航 条 ， 当 用 户 单 击 导航 条 中 的 某 个 选项 时 ， 该 选项 的 具体 内 容 会 在 右 侧 
显现 。ACS 各 导航 条 的 功能 如 下 。 


E 
$ 
ES 


用 户 设置 (User Setup): 查看 、 创 建 、 编 辑 、 删 除 用 户 账号 。 

组 设置 (Group Setup): 查看 、 创 建 、 编 辑 用 户 组 设置 。 

共享 配置 组 建 组 件 (Shared Profile Components): 一 些 可 共享 的 授权 组 件 ,它们 可 以 
应 用 于 一 个 或 多 个 用 户 ， 或 用 户 组 。 授 权 组 件 包 括 Network Access Restriction 
(NAR). Command authorization set 和 PIX downloadable ACL. 

网 络 配置 (Network Configuration): 查看 、 创 建 、 编 辑 、 删 除 网 络 服务 器 (网 络 设备 ， 
如 路 由 器 、 交 换 机 等 ) 的 参数 。 

系统 配置 (System Configuration): 启动 或 停止 ACS 服务 ， 创 建 或 删除 网 络 日 志 ， 

控制 ACS 数据 库 同步 等 。 

接口 配置 (Interface Configuration): 配置 TACACS+ 和 RADIUS 的 选项 。 

管理 控制 (Administration Contro): 查看 、 创 建 、 编 辑 、 删 除 ACS 的 管理 员 账 号 
参数 。 

外 部 数据 库 (External User Database): 配置 ACS 的 外 部 数据 库 类 型 以 及 未 知 的 用 户 
策略 。 

报告 和 活动 (Reports and Activity): 查看 TACACS+ 和 RADIUS 的 审计 报告 、 登 录 
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失败 报告 以 及 已 经 登录 的 用 户 信息 等 。 
信 ”在 线 文档 (Online Documentation): 提供 关于 Cisco Secure ACS 更 详细 的 文档 。 


3. 添加 Cisco Secure ACS 管理 员 账 号 


Cisco Secure ACS 可 以 建立 多 个 管理 员 账 号 并 赋予 不 同 的 权限 ， 实 现 分 级 权限 管理 。 下 
面 简要 地 介绍 一 下 建立 管理 员 账 号 和 设置 权限 的 方法 。 

添加 一 个 管理 员 账 号 到 主页 中 ， 可 以 单 击 Administration Control 按钮 ， 进 入 Administration 

Control 配置 页 面 。 在 该 页 面 中 ， 列 出 了 已 有 的 管理 员 账 号 列表 ， 并 可 以 新 建 账号 ， 以 及 对 

管理 员 账号 的 接 入 策略 (Access Policy)、 会 话 策略 (Session Policy) 和 审计 策略 (Audit Policy) 

进行 配置 ， 如 图 6-100 所 示 。 


ET 


Administration Control 


Administ: 


No Acmnistrator Accounts 


Add kdmieiirator | 


Access Policy Session Policy Audit Poley 


图 6-100 添加 管理 员 账 号 
© 单 击 Add Administrator 按钮 ， 即 可 添加 管理 员 ， 需 要 输入 用 户 名 和 密码 ， 如 图 6-101 所 示 。 
Add Administrator 


Administrator Details 到 


Administrator Name 
Password 
Confirm Password 


图 6-101 输入 管理 员 账 号 和 密码 
© 向 下 滚动 配置 页 ， 我 们 可 以 为 该 管理 员 定义 各 种 权限 ， 根 据 不 同 的 身份 选择 不 同 的 权限 。 
如 果 是 最 高 管理 员 ， 可 以 直接 选中 Grant AID 复 选 框 ， 赋 予 全 部 权限 。 权 限 赋予 完毕 后 ， 单 
击 Submit 按钮 确认 ， 如 图 6-102 所 示 。 
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Administrator Privilages. zi 
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T Network configuration 


区 Add/Edit users in those groups 
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F^ Service Contro 
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F TACACS* Administration 


F Date/Time Format control 
P Loggne Control 
F Password validation 


F pe Replication F Apmus Accounting 


F Vel? Accounting 
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F ppes synchronization 


F Failed attempts 


F Logged-in users 
P Purge cf Leoged-n Users 
F Disabled Accounts 


E acs Backup 
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Shored profile Components P ACS Service Management 


网 Network Access Restriction Sets B oIP Acccuntió F acs Backup and Restore 
TV. network Access Filtering sots Baci carinata F DE Rapication 

El Downloadable AcLs F Global Authentication Setup MI RÉUMS Sryrcironicaten 
V. RADIUS Authorization Components. CLIE V CLER: EPOD NN RV Administration audit 

网 Create new Device Command Set Type 区 Interface configuration M. acs Service Monitor 

IV. Sholi Command Authorization Sets T Administration Control F User Change Password. 


图 6-102 赋予 管理 账号 权限 


© sis Administration Control 界面 后 ， 可 以 对 管理 员 账号 的 接 入 策略 、 会 话 策略 和 审计 策略 
进行 配置 . 单 击 Access Policy 可 以 设置 接 入 IP 地址 范围 ,同时 也 可 以 设置 http 接 入 的 选项 ， 
选择 会 话 的 端口 以 及 是 否 选择 https 接 入 ， 如 图 6-103 所 示 。 


Access Policy Setup "= 
E [ch , p 
[ IP Address Filtering. $^ 
6 Allow all [P addresses to connect 7 
© low orly isted IP addresses to connect e EN "Ed 
© Reject connections from lated IP addresses. nEs eee 


[ 1P Address Ranges 2i 
Start IP Addross. End IP Addross HTTP Configuration 11 


HTTP Port Allocation. 
any TCP porta to be used for administration 


| 
toss 
ict Admristration Sossions to tho following port 
* From Port [1024 © to port [65535 
s | [ Secure üocket Layer etum 
kE EE T^ Une HTTPS Transport for Admevstration access 
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Q 单 击 Session Policy 可 以 设置 会 话 策略 ， 并 选择 会 话 空 闸 时 间 ， 以 及 多 少 次 失败 登录 后 锁定 
管理 员 账 号 等 属性 ， 如 图 6-104 所 示 。 


session Policy Setup 


session configuration 2) 


Session idie timeout (minutes) [60 
F7 Allow automatic local login 


F7 Respond to invalid IP address connections 


T7 Lock out Administrator after [0 successive failed 
attempts 


图 6-104 ”设置 会 话 策略 
Q 单 击 Audit Policy 可 以 设置 审计 属性 ， 如 图 6-105 所 示 。 
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Audit policy setup 
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Æ 6-105 设置 审计 属性 
O 完成 以 上 设置 后 ， 在 授权 的 IP 地 址 上 访问 http://ACS-server-ip:2002/， 并 输入 管理 员 账 号 远程 


登录 ACS， 如 图 6-106 所 示 。 
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图 6-106 远程 登录 ACS 界面 


4. 添加 /删除 AAA 客户 端 


对 于 一 台 基 于 Cisco IOS 的 路 由 器 或 者 NAS 接 入 服务 器 ， 若 需要 Cisco Secure ACS 提 
fit RADIUS 认证 , 都 将 作为 Cisco Secure ACS 的 AAA 客户 端 ,下面 介绍 添加 /删除 AAA 客 


户 端的 过 程 。 


o 在 ACS 主页 面 中 ， 添 加 一 个 AAA 客户 端 可 以 首先 单 击 Network Configuration 按钮 ， 进 入 
配置 界面 ， 再 单 击 Add Entry 按钮 ， 打 开 AAA 客户 端 管理 界面 ， 如 图 6-107 所 示 。 


TS 
DN AAA Clients 3i e 
AAA Gent [AAA Ghent IP | Auihesticute 


AAA Clent 1P 
Hostname Address Using 


Addross 
None Defined 


Key 


Cadd Entry ) (Search) 


Add AAA Client 


[—— ———:J 


Ours 5 RRSSCTEGHUESETNININNNENENEN :) 
Using 


Singie Connect TACACS+ AAA Client (Record stop in 
日 :cceunng on faire) 


E Log Update Watchdog Packets from this AAA Chent 


E) Log RADIUS Tunneling Packets from this AAA Cient 


Replace RADIUS Port info with Username from this AAA 
Cent 


人 (Smit + Apply (Gr) 


6-107 ”添加 AAA 客户 端 
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e 在 添加 AAA 客户 端 界面 中 可 以 定义 客户 端的 主机 名 ， 并 输入 客户 端的 IP 地 址 和 RADIUS 服务 的 密 
码 。 如 果 是 配置 一 台 基 于 Cisco IOS 的 路 由 器 或 者 NAS 接 入 服务 器 , 则 可 以 在 下 端的 Authenticate Using 
中 选择 RADIUS(Cisco IOS/PIX6.0); 如 果 是 一 些 第 三 方 设 备 ， 则 可 以 选择 Radius(IETF)， 然 后 单 击 
Submit-Apply 按钮 。 

© 修改 成 功 后 , 会 返回 到 AAA 客户 端 管理 界面 ， 单 击 AAA Client Hostname 可 以 继续 修改 先前 
的 配置 ， 或 者 删除 该 客户 端 。 


5. 配置 分 布 式 ACS 


和 前 述 的 微软 IAS 定义 RADIUS 代理 服务 器 的 方法 一 样 ，Cisco Secure ACS 也 支持 分 
布 式 的 运行 模式 ， 具 体 配 置 方式 如 下 。 

在 ACS 主页 面 中 ， 单 击 Interface Configuration 按钮 ， 进 入 配置 界面 。 在 右 侧 单 击 Advanced 

Options 选项 ， 选 中 Distribute System Settings 和 Network Device Group 两 个 复 选 框 ， 然 后 单 

击 Submit 按钮 ， 如 图 6-108 所 示 。 


6-108 ”高 级 选项 


© 单 击 Network Configuration 按钮 进入 配置 界面 ,在 右 侧 单 击 Network Device Groups(NDG) 
下 方 的 Add Entry 按钮 ， 并 在 表 中 输入 设备 组 的 名 称 和 密码 ， 完 成 后 单 击 Submit 按钮 ， 如 


图 6-109 所 示 。 


New Network Device Group 


Network Device Grub [Baanesenas — — ] 
Key [cisco 
(Submit) (Cancel) 


6-109 NDG 配置 
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e 回 到 Network Configuration 配置 界面 ， 在 右 侧 单 击 Network Device Groups(NDG) T 7; t^] Not 


Assigned 设备 组 ， 然 后 选择 所 需要 迁移 到 新 的 NDG 的 AAA Client 或 者 AAA Server， 如 


图 6-110 所 示 。 
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(Not Assigned) AAA Clients P] 


AAA Servers. 


NL 
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图 6-110 迁移 设备 到 NDG 


o 在 Network Configuration 配置 界面 中 ， 单 击 右 侧 Network Device Groups(NDG) T 7; fj Not 
Assigned 1X 4&4, fAJ5 3k 3€ Jr Ts E345 8] 3E NDG 的 AAA Client 或 者 AAA Server, 并 在 


Network Device Groups 下 拉 菜 单 中 选择 移动 到 新 建 的 Sadness NAS 组 中 ， 如 


AAA Client Setup For 
SadnessNAS12 


AAA Client 
IP Address 


Key 


Network 
Device 
Group 


Authenticate [RADIUS (Cisco IOS/PIX 6.0] B 
Using 


Single Connect TACACS+ AAA Client (Record stop in 
9 accounting on failure). 


日 Log Update/Watchdog Packets from this AAA Client 
日 Log RADIUS Tunneling Packets from this AAA Client 


Replace RADIUS Port info with Username from this AAA 
O Client 


(Submit) ( submit + Apply ) (Delete 
( Delete + apply) (Cancel) 


6-111 ”迁移 设备 进入 NDG 
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© 在 Network Configuration 配置 界面 中 ， 单 击 右 侧 Proxy Distribution Table 下 方 的 Add Entry 
按钮 ， 输 入 这 个 转发 列表 的 名 称 ， 并 将 Position 设置 为 Suffix， 将 需要 的 RADIUS Server 加 
入 Forward To 一 列 ， 并 选择 记 账 方式 为 Local/Remote， 完 成 配置 后 单 击 Submit+Restart 按 
钮 ， 如 图 6-112 所 示 。 


Add New Proxy Distribution Entry 


Proxy Distribution Table ?| Character string 
T AAA Servers Strip Account Position sum B 
Sadness me Yes Local/Remote itid [Ces 国 
Sadness _m,sadnessIAS1 Mua servere pe 
(Default: test-m No Local — 
GEOTENN ( son Entries ) 


— 


Send Accountng Information . [ETT US] 


(Submit) Submit-- Restart (Cancel) 


Æ 6-112 配置 Proxy Distribution Table 


© 通常 在 多 个 ACS 服务 器 之 间 需 要 进行 数据 同步 ， 首 先 单 击 Network Configuration 按钮 ， 进 
入 配置 界面 ， 在 右 侧 单 击 Advanced Options 选项 ， 选 中 RDBMS Synchronization。 然 后 进入 
System Configuration， 选 择 RDBMS Synchronization ， 如 图 6-113 所 示 。 


€)  Ciscosecure Acs eee 
XD MAD REV CURAS IRD Fee » 
Du- 回 - 因 回回 | 回 mm (vien 回 | 国 -回忆 - (9) £0 B dd 


6-113 配置 RDBMS Synchronization 


© 在 新 弹出 的 RDBMS Setup 页 面 中 可 以 设置 数据 源 ， 以 及 用 于 同步 的 用 户 名 和 密码 。 
Synchronization Scheduling 可 以 选择 同步 的 周期 ， 并 允许 在 每 天 的 特定 时 间 进 行 同步 以 避 开 
业务 高 峰 期 等 。 最 后 设置 Synchronization Partners, 这 里 可 以 选择 不 同 的 Secure ACS 服务 器 
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进行 同步 ， 如 图 6-114 所 示 。 
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图 6-114 配置 RDBMS Synchronization Setup 


6. 添加 RADIUS AA 


添加 RADIUS 用 户 用 于 AAA 认证 ， 通 常 可 以 选择 External User Databases 按钮 来 使 用 


Windows Active Directory 的 账号 。 更 多 情况 下 ，Cisco Secure ACS 还 是 使 用 自 带 


功能 ， 其 配置 方法 如 下 。 


的 用 户 设置 


在 ACS 主页 面 中 ， 首 先 单 击 User Setup 按钮 ， 进 入 用 户 配置 界面 。 再 在 右 侧 的 文本 框 中 输 


入 需要 添加 的 用 户 名 ， 并 单 击 Add/Edit 按钮 ， 如 


User 

Setup 
Group 
IE 


User: |SadnessAdmir| 


6-115 所 示 。 


(CE) 


List users beginning with letter/number: 
System &ABCDEFGHIIKLHN 
Configuration HOPORSIUVVXYZ 
0123456789 

Interf: 

Configuration | : 
List all users 

Administration] 

| nr 
ER 一 一 Remove Dynamic Users 


6-115 输入 RADIUS 用 户 名 


O 设置 用 户 的 真实 名 字 、 详 细 描 述 等 信息 。 在 User Setup 界面 中 可 以 定义 认 订 


E 密 码 使 用 ACS 


的 内 部 数据 库 或 者 Windows 的 用 户 数据 库 , 然后 设置 PAP 或 者 CHAP 的 密码 ; 选择 相应 的 


用 户 组 ， 还 可 以 设置 Callback 以 及 用 户 账 号 有 效 期 等 权限 、 详 细 列表 ， 如 棋 
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Æ 6-116 设置 RADIUS 用 户 详细 信息 


完成 配置 后 单 击 Submit 按钮 ， 单 击 Group Setup 按钮 后 找到 刚才 账号 所 在 的 组 并 单 击 Edit 
Settings 按钮 ， 可 以 配置 该 组 用 户 的 接 入 时 间 ; 如 果 是 配置 TACACS+ 还 可 以 定义 用 户 的 权 
限 ， 然 后 定义 用 户 的 最 大 接 入 会 话 数量 。RADIUS 用 户 还 可 以 定义 权限 Level， 如 图 6-117 
所 示 。 
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6-117 ”其 他 配置 


© 完成 配置 后 单 击 Submit 按钮 . 
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7. 授权 及 审计 配置 


下 面 简 要 地 介绍 一 下 授权 及 审计 的 配置 ， 限 于 篇 幅 ， 这 里 就 不 详细 介绍 配置 方法 。 
授权 通常 在 Shared Profile Components 菜单 中 设置 ， 可 以 定义 RADIUS 以 及 Shell Command 
等 权限 ， 如 图 6-118 所 示 。 


a Ciscosecure acs oee 
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图 6-118 ”配置 授权 
[2] 对 于 审计 服务 ， 可 以 在 Reports and Activity 中 查询 ， 如 图 6-119 所 示 。 
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6-119 ”查看 审计 
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6.3.4 Linux RADIUS 


对 于 中 小 型 企业 NAS 应 用 来 说 ,以 Linux 为 平台 建立 RADIUS 服务 器 是 非常 好 的 选择 。 
使 用 共享 软件 完全 可 以 建立 简洁 、 高 效 的 RADIUS 服务 器 ， 而 且 无 须 任何 软件 上 的 花费 。 
在 目前 很 多 较 高 版 本 的 Linux 中 ， 它 们 都 把 RADIUS 的 安装 程序 包含 在 系统 源码 中 ， 这 样 
使 得 我 们 可 以 很 容易 地 通过 免费 的 Linux 系统 学 习 RADIUS 授权 、 认 证 的 原理 和 应 用 。 

在 Linux 下 安装 RADIUS Server， 通 常 使 用 的 是 IC-RADIUS， 它 需要 如 下 软件 包 的 


支持 。 
*  mysgl-3.23.39.tar.gz: MySQL 数据 库 ; 
+ DBI-1.18.tar.gz: Perl 调用 数据 库 的 通用 接口 ， 
*  Msql-Mysql-modules-1.2216.targz: ^ Perl DBI 针对 MySQL 的 Driver 驱动 ; 
*  RadiusPerl-1.05.tar.gz: Perl 对 RADIUS 的 Authen 认证 模块 ; 
<+  icradius-0.18.1.tar.gz: IC-RADIUS 源码 包 。 


下 面 是 在 Linux 下 安装 RADIUS Server 的 一 般 过 程 ,不 同 版 本 的 Linux 的 方法 可 能 不 同 。 
o 安装 MySQL 数据 库 管 理 系统 。 不同 版 本 的 安装 方法 不 尽 相同 (下 同 )， 下 面 所 列 的 是 下 载 源 
代码 的 安装 过 程 。 


SadnessNet#gzip zxvf mysql-3.23.39.tar.gz // 解 压缩 

SadnessNet#cd mysql-3.23.39 

SadnessNet#./configure prefix=/usr/local/mysql // 配 置 MyseL 的 安装 路 径 
SadnessNetitmake ES 

SadnessNetimake install ES 

SadnessNetitcd /usr/local/msyql/bin 

SadnessNeti4./mysgl install db // 初 始 化 MysQL 数 据 库 
SadnessNetildconfig // 更 新 系统 共享 库 链 接 


SadnessNet#cd /usr/tmp/mysq1-3.23.39/support-files 

SadnessNet#cp mysql.server /etc/rc.d/init.d/mysql.server// 复 制 启动 /停止 脚本 

SadnessNet#cp my-medium.cnf /etc/my.cnf // 复 制 配 置 文件 ， 并 修改 my .cnf 中 
root 密 码 为 空 

SadnessNet#mysqladmin u root p password // 新 口令 


© 安装 Perl 调用 数据 库 的 通用 接口 DBLI 及 DBD for MySQL 驱动 。 


SadnessNet#cd /usr/tmp 

SadnessNet#tar zxvf DBI-1.18.tar.gz 
SadnessNetitcd DBI-1.18 

SadnessNeti&üperl Makefile.PL 
SadnessNetitmake test 

SadnessNetitmake install 

SadnessNeticd /usr/tmp 

SadnessNet&ütar zxvf Msql-Mysql-modules-1.2216.tar.gz 
SadnessNeti&cd Msql-Mysql-modules-1.2216 
SadnessNetiperl Makefile.PL’ 
SadnessNetitmake 

SadnessNetitmake test 

SadnessNetitmake install 
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e Perl 对 RADIUS 的 认证 模块 安装 RADIUSPerl:Authen 。 


SadnessNeticd /usr/tmp 

SadnessNet&ütar zxvf RadiusPerl-0.05.tar.gz 
SadnessNeticd RadiusPerl-0.05 
SadnessNetüperl Makefile.PL 
SadnessNetitmake 

SadnessNetitmake test 

SadnessNetimake install 


© 安装 RADIUS 服务 器 软件 1C-RADIUS. 


SadnessNet#cd /usr/tmp 

SadnessNet#tar zxvf icradius-0.18.1.tar.gz 
SadnessNetiicd icradius-0.18.1 
SadnessNetitcp Makefile.lnx Makefile 
SadnessNetitmake 

SadnessNetimake install 


Q «su RADIUS 服务 器 软件 后 , 需要 配置 RADIUS 数据 库 ， 并 向 MYSQL 数据 库 中 导入 
数据 表 。 


SadnessNet#cd scripts 

SadnessNet#mysql u root p mysql 

Mysql»create database radius; // 创 建 RADIUS 数据 库 

添加 RADIUS 用 户 : 

Mysql»grant all on radius.* on radiusGlocalhost identified by "'radius'; 
SadnessNetimmysqladmin u root p refresh // 刷 新 数据 库 内 容 


导入 数据 表 : 


SadnessNet# mysql -u root -pyourpassword radius < radius.db 


修改 dictimport.pl, it 


my $dbusername 'radius'; 
my $dbpassword 'radius' 
SadnessNet# /dictimport.pl ./raddb/dictionary 


Q 上 述 软件 安装 完成 后 ， 便 可 启动 RADIUS 服务 ， 


SadnessNet#cd /etc/rc.d/init.d 
SadnessNet#radiusd start 


64 本 章 小 结 


本 章 介 绍 了 关于 网 络 认证 的 一 些 服务 ， 首 先 介 绍 了 基于 Windows 电子 证 书 系 统 的 安装 
和 配置 流程 。 在 后 续 的 小 节 中 介绍 了 如 何 使 用 AAA 来 管理 大 量 的 设备 ， 以 及 如 何 对 这 些 设 
备 进行 身份 验证 、 授 权 访 问 以 及 事后 审计 等 功能 。 

接 下 来 介绍 了 基于 RADIUS 服务 器 的 AAA 方案 ， 并 分 别 介绍 了 微软 IAS 系统 、Cisco 
Secure ACS 以 及 基于 Linux 的 IC-RADIUS 等 的 安装 和 配置 。 微软 IAS 系统 由 于 和 微软 产品 
结合 非常 紧密 , 所 以 在 Active Directory 大 规模 部 署 的 平台 上 可 以 很 好 地 支持 AAA 服务 。 而 
Cisco Secure ACS 产品 由 于 出 自 专 业 的 通信 设备 厂商、 系统 稳定 性 以 及 和 其 他 基于 Cisco 的 
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网 络 设备 互动 性 能 做 得 更 加 出 色 , 并 且 其 私有 的 TACACS+ 协 议 也 支持 很 多 特有 的 功能 ， 并 


且 它 还 可 以 通过 外 部 数据 库 共 享 Active Directory 中 的 用 户 数据 。IC-RADIUS 是 一 个 完全 免 
费 的 解决 方案 ， 它 非常 适合 那些 需要 安全 性 的 中 小 型 企业 使 用 ， 这 也 是 我 们 介绍 基于 Linux 


RADIUS 服务 器 的 初衷 。 
在 第 7 章 中 ， 我 们 将 逐渐 开始 使 用 这 些 服务 进行 802.1x 以 及 网 络 接 入 控制 NAC) 的 配置 。 
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目前 ， 大 量 的 网 络 安全 威胁 来 自 于 各 种 蠕虫 和 木马 。 蠕 虫 、 木 马 等 形式 的 病毒 对 网 络 
的 威胁 极 大 ， 通 过 主机 间 的 相互 传染 使 得 网 络 安全 性 极度 下 降 ， 因 此 需要 一 种 技术 将 安全 
的 计算 机 放 入 受 保护 的 区 域 ， 并 对 中 毒 的 主机 进行 有 效 的 隔离 ， 防 止 其 扩散 感染 其 他 主机 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

*  8021x 接 入 认证 


信 WSUS windows 自动 更 新 服务 
信 Cisco NAC 网 络 准 入 控制 
o ”终端 安 全 


7.1 802.1x 协议 


7.1.1 802.1x 协议 概述 


802.1x 协议 是 基于 Client/Server 的 访问 控制 和 认证 协议 ， 用 来 限制 未 经 授权 的 用 户 / 设 
备 通 过 接 入 端口 访问 LAN/MAN。 在 获得 交换 机 或 LAN 提供 的 各 种 业务 之 前 ，802.1x 协议 
对 连接 到 交换 机 端口 上 的 用 户 / 设 备 进行 认证 。 在 认证 通过 之 前 ，802.1x 协议 只 允许 
EAPoL(Extensible Authentication Protocol over LAN， 基 于 局 域 网 的 扩展 认证 协议 ) 数 据 通过 
设备 连接 的 交换 机 端口 ， 认 证 通过 以 后 ， 正 常 的 数据 可 以 顺利 地 通过 以 太 网 端口 。 

网 络 访问 技术 的 核心 部 分 是 PAE(Port Access Entity， 端 口 访 问 实体 )。 在 访问 控制 流程 
中 ， 端 口 访问 实体 包含 三 部 分 。 

S ”认证 者 : 对 接 入 的 用 户 /设备 进行 认证 的 端口 ; 

信 ”请 求 者 : 被 认证 的 用 户 /设备 ; 

S ”认证 服务 器 : 根据 认证 者 的 信息 ， 对 请 求 访问 网 络 资源 的 用 户 / 设 备 进行 实际 认证 

功能 的 设备 。 

以 太 网 的 每 个 物理 端口 分 为 受 控 和 不 受 控 两 个 逻辑 端口 ， 物 理 端口 收 到 的 每 个 帧 都 被 
送 到 受 控 和 不 受 控 端口 。 对 受 控 端口 的 访问 ， 受 限于 受 控 端 口 的 授权 状态 。 认 证 者 的 PAE 
根据 认证 服务 器 认证 过 程 的 结果 ， 控 制 “ 受 控 端 口 ”的 授权 /未 授权 状态 。 处 在 未 授权 状态 
的 控制 端口 将 拒绝 用 户 / 设 备 的 访问 。 


1. 802.1x 协议 认证 特点 


基于 以 太 网 端口 认证 的 802.1x 协议 具有 如 下 特点 。 
* 8021x 协议 为 二 层 协议 ， 不 需要 到 达 三 层 ， 对 设备 的 整体 性 能 要 求 不 高 ， 可 以 有 
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效 降 低 建 网 成 本 。 

今 “ 借 用 了 在 RAS 系统 中 常用 的 EAP( 扩 展 认证 协议 )， 可 以 提供 良好 的 扩展 性 和 适应 
性 ， 实 现 对 传统 PPP 认证 架构 的 兼容 。 

今 “802.1x 协议 的 认证 体系 结构 采用 了 “可 控 端 口 ” 和 “不 可 控 端 口 ”的 逻辑 功能 ， 
从 而 可 以 实现 业务 与 认证 的 分 离 ， 由 RADIUS 和 交换 机 利用 不 可 控 逻 辑 端口 共同 
完成 对 用 户 的 认证 与 控制 ， 业 务 报 文 直接 承载 在 正常 的 二 层 报 文 上 通过 可 控 端 口 
进行 交换 ， 通 过 认证 后 的 数据 包 是 无 须 封装 的 纯 数据 包 。 

今 “ 可 以 使 用 现 有 的 后 台 认 证 系统 降低 部 署 的 成 本 ， 而 且 有 丰富 的 业务 支持 ;可 以 映 
射 不 同 的 用 户 认证 等 级 到 不 同 的 VLAN。 

今 “ 可 以 使 交换 端口 和 无 线 LAN 具有 安全 的 认证 接 入 功能 。 

2. 802.1x 协议 工作 过 程 


图 7-1 所 示 的 是 802.1x 协议 的 工作 流程 。 


RADIUS 服务 器 


EAPOL-Start 


EAP-Request/Idertity 


RADIUS Access-Request 
(EA4P-Response/Identity) 
RADIUS Access-Challenge 
(EA4P-Request/MD5 Challenge) 


RADIUS Access-Request 
(EAP-Response/MD5 Challenge), 


RADIUS Access-Accept 
(E4P-Success) 


| q E&P-Request/ND5 Challenge 


EAP-Response/IID5 Challenge 


握手 应 答 报 文 
[EA4P-Response/Identity] 


7-1 802.1x 工作 流程 


O 当 用 户 有 上 网 需求 时 打开 802.1x 协议 客户 端 程序 ， 输 入 已 经 申请 、 登 记 的 用 户 名 
和 口令 ， 发 送 连接 请 求 。 此 时 ， 客 户 端 程序 将 发 出 请 求 认 证 的 报 文 给 交换 机 ， 开 始 启动 一 

(2) 交换 机 收 到 请 求 认 证 的 数据 帧 后 ， 将 发 出 一 个 请 求 帧 要 求 用 户 的 客户 端 程序 将 输 
入 的 用 户 名 发 送 过 来 。 

(3) 客户 端 程序 响应 交换 机 发 出 的 请 求 ， 将 用 户 名 信息 通过 数据 帧 发 送 给 交换 机 。 同 
时 ， 交 换 机 将 客户 端 送 上 来 的 数据 帧 经 过 封包 处 理 后 发 送 给 认证 服务 器 进行 处 理 。 
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(4) 认证 服务 器 收 到 交换 机 转发 的 用 户 名 信息 后 ， 将 该 信息 与 数据 库 中 的 用 户 名 列表 
相 比 对 ， 找 到 该 用 户 名 对 应 的 口令 信息 ， 用 随机 生成 的 一 个 加 密 字 对 它 进行 加 密 处 理 ， 同 
时 也 将 此 加 密 字 传 送 给 交换 机 ， 由 交换 机 传 给 客户 端 程序 。 

O 客户 端 程序 收 到 由 交换 机 传 来 的 加 密 字 后 ， 用 该 加 密 字 对 口令 部 分 进行 加 密 处 理 
(此 种 加 密 算法 通常 是 不 可 逆 的 )， 并 通过 交换 机 传 给 认证 服务 器 。 

(6) 认证 服务 器 将 送 上 来 的 加 密 后 的 口令 信息 与 其 自己 经 过 加 密 运 算 后 的 口令 信息 进 
行 对 比 ， 如 果 相 同 ， 则 认为 该 用 户 为 合法 用 户 ， 反 馈 认 证 通过 的 消息 并 向 交换 机 发 出 打开 
端口 的 指令 ， 人 允许 用 户 的 业务 流通 过 端口 访问 网 络 ; 否则， 反馈 认证 失败 的 消息 并 保持 交 
换 机 端口 的 关闭 状态 ， 只 允许 认证 信息 数据 通过 而 不 允许 业务 数据 通过 。 

3. 802.1x 应 用 环境 特点 


802.1x 既 可 应 用 于 交换 式 以 太 网 络 环境 ， 也 可 应 用 于 共享 式 网 络 环境 。 

1) ”交换 式 以 太 网 络 环境 

在 交换 式 以 太 网 络 中 ， 用 户 和 网 络 之 间 采 用 点 到 点 的 物理 连接 ， 用 户 彼此 之 间 通 过 
VLAN 隔离 。 在 这 种 网 络 环境 下 ， 网 络 管理 控制 的 关键 是 用 户 接 入 控制 ，802.1x 不 需要 提 
供 过 多 的 安全 机 人 制 。 

2) ”共享 式 网 络 环境 

当 802.1x 应 用 于 共享 式 的 网 络 环境 时 ， 为 了 防止 在 共享 式 的 网 络 环 境 中 出 现 类 似 “ 拱 
载 ”的 问题 ， 有 必要 将 PAE 实体 由 物理 端口 进一步 扩展 为 多 个 互相 独立 的 逻辑 端口 。 逻 辑 
端口 和 用 户 / 设 备 形成 一 一 对 应 关系 ， 并 且 各 逻辑 端口 之 间 的 认证 过 程 和 结果 相互 独立 。 在 
共享 式 网 络 中 ， 用 户 之 间 共 享 接 入 物理 媒介 ， 接 入 网 络 的 管理 控制 必须 兼顾 用 户 接 入 控制 
和 用 户 数 据 安全 ， 可 以 采用 的 安全 措施 是 对 EAPoL 和 用 户 的 其 他 数据 进行 加 密封 装 。 在 实 
际 网 络 环境 中 ， 可 以 通过 加 速 WEP 密 钥 重 分 配 周期 ， 弥 补 WEP 静态 分 配 密 钥 导致 的 安全 


7.1.2 配置 802.1x 协议 


应 用 实例 导航 : 为 Sadness 公司 部 署 基于 802.1x 接 入 控制 


※ 场 景 呈现 


Jam 为 了 使 Sadness 公司 的 网 络 更 加 安全 ， 并 随 着 公司 内 部 无 线 网 络 的 部 署 ， 为 了 防止 
陌生 人 接 入 网 络 ， 他 在 公司 采用 了 802.1x 认证 。 

项 目 实施 后 ， 虽 然 安全 性 进一步 提高 了 ， 但 是 公司 不 少 员工 抱怨 ， 使 用 两 套 密码 进行 
Windows 登录 和 802.1x 认证 非常 麻烦 ， 管 理 维护 成 本 也 较 高 ， 希 望 使 用 新 的 配置 进行 单一 
账号 的 身份 认证 。 在 现 阶段 ， 通 常 使 用 Windows Active Directory 和 Cisco Secure ACS 结合 
来 完成 统一 账号 的 登录 服务 。 
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(1) 配置 Active Directory， 实 现 单一 账号 身份 认证 ; 
(2) 配置 RADIUS 服务 器 ; 

(3) 在 网 络 接 入 设备 上 ， 启 用 802.1x; 

(4) 配置 802.1x 客户 端 。 


1. 配置 Active Directory 


在 上 一 章 ， 已 经 介绍 了 Active Directory 的 安装 过 程 ， 为 了 使 用 户 能 够 使 用 单一 账号 的 
身份 认证 ， 需 要 对 Active Directory 进行 一 些 必要 的 配置 ， 其 过 程 如 下 。 
Q 以 Administrator( 系 统管 理 员 ) 身 份 登录 域 控制 器 ， 依 次 单 击 【 开 始 】 一 【管理 工具 】 一 
[Active Directory 用 户 和 计算 机 】 命 令 ， 打 开 【Active Directory 用 户 和 计算 机 】 控 制 
人 台 窗 口 ， 在 左 侧 窗 格 中 用 鼠标 右键 单 击 域名 ， 在 弹出 的 快捷 菜单 中 选择 【新 建 〗 一 【组 
织 单位 了 命令 。 在 弹出 的 【新 建 对 象 -组 织 单位 了 对 话 框 中 输入 组 织 单位 的 名 称 为 dotlx， 
并 单 击 【 确 定 】〗 按 钮 ， 如 图 7-2 所 示 。 
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7-2 ”添加 组 织 单位 的 名 称 


Q 在 Users 结 点 中 选择 需要 添加 到 刚才 所 建 doux 组 织 单位 的 用 户 ， 然 后 右 击 ， 在 弹出 的 
快捷 莱 单 中 选择 【移动 〗 命 令 ， 将 这 些 用 户 移动 到 dotlx 组 织 单位 中 ， 如 图 7-3 所 示 。 

© 选择 刚才 所 建 的 组 织 单位 ， 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【委派 控制 〗 命 令 ， 弹 出 
【控制 委派 向 导 〗 对 话 框 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 7-4 所 示 。 

O 在 【用 户 和 组 〗】 向 导 页 中 ， 选 择 新 建 的 组 织 单位 的 用 户 ， 单 击 【 下 一 步 】 按 钮 ， 打 开 
【要 委派 的 任务 】〗 向 导 页 。 在 【要 委派 的 任务 〗 向 导 页 的 【委派 下 列 常见 任务 〗 列 表 
框 中 ， 列 出 了 可 以 委派 的 任务 列表 ， 选 中 【 重 设 用 户 密码 并 强制 在 下 次 登录 时 更 改 密 
码 】〗 复 选 框 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 7-5 所 示 。 完 成 后 再 单 击 【 下 一 步 】 按 钮 即 可 
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© 打开 浏览 器 ， 在 地 址 栏 中 输入 “http://CA-server-ip/certsrv”， 依 次 单 击 【 申 请 一 个 证 
书 】〗 一 【高 级 申请 〗 一 【创建 并 向 此 CA 提交 一 个 申请 】 链 接 ， 如 图 7-6 所 示 。 
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注意 : 您 怖 有 一 个 注册 化 到 证 书 米 为 吻 一 用户 提交 请 来- 


Quee 
7-6 申请 CA 证 书 


Q 在 【高 级 证 书 申 请 】Web 页 面 中 ， 在 【证 书 模板 】 下 拉 列 表 框 中 选择 【Web 服务 器 】 
选项 ， 在 【姓名 】 文 本 框 中 输入 “Sadness”"， 在 【 密 钥 大 小 】〗 文 本 框 中 输入 “1024”， 
同时 选中 【标记 密 钥 为 可 导出 】〗 及 【将 证 书 保存 在 本 地 计算 机 存储 中 】〗 两 个 复 选 框 ， 
然后 单 击 【 提 交 】 按 钮 ， 如 图 7-7 所 示 。 这 时 将 打开 【证 书 安装 】 的 提示 对 话 框 ， 说 明 
安装 已 经 完成 。 
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图 7-7 设置 证 书 模板 及 密 钥 
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2. 配置 RADIUS 服务 器 
采用 802.1x 认证 时 ， 用 


a 第 7 章 网 络 安全 接 入 


户 认 证 过 程 使 用 RADIUS 协议 ， 网 络 接 入 设备 (交换 机 或 AP) 


都 是 RADIUS 客户 端 。 下 面 以 Cisco Secure ACS 为 例 ， 介 绍 RADIUS 服务 器 的 配置 过 程 。 


Q 在 浏览 器 地 址 栏 中 输入 


“http://ACS-server-ip:2002”"， 访 问 ACS 服务 器 ， 打 开 页 面 后 依 


次 选择 System Configuration > ACS Certificate Setup > Install ACS Certificate 命令 ， 输 入 


刚才 申请 的 Sadness 证 书 


， 并 单 击 Submit 按钮 ， 如 图 7-8 所 示 。 
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© 依次 选择 System Configuration 一 ACS Certificate Setup Install ACS Certificate ^ Edit 


Certificate Trust List 命令 
按钮 ， 如 图 7-9 所 示 。 


prom 


， 选 择 AD Server 上 的 根 证 书 作为 信任 证 书 ， 然 后 单 击 Submit 
sessar: Bee 
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7-9 在 ACS 中 添加 根 证 书 
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Q 依次 选择 System Configuration ^ Global Authentication Setup 命令 ， 选 中 Allow 


EAP-MSCHAP v2 及 Allow EAP-GTC 两 个 复 选 框 ， 并 单 击 Submit 按钮 ， 如 图 7-10 
所 示 。 
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7-10 # ACS 中 配置 全 局 认证 属性 
QQ 依次 选择 External User Databases ^ Database Configuration ^ Windows Database 一 


Configure 命令 。 在 Configure Domain List 下 ， 将 Available Dornains 列表 框 中 所 在 的 域 
名 称 移动 到 Domain List 列表 框 中 ， 如 图 7-11 所 示 。 
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图 7-11 配置 域 列表 
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© 在 Windows EAP Settings 的 Machine Authentication 下 ， 选 中 Enable PEAP machine 
authentication 和 Enable EAP-TLS machine authentication 两 个 复 选 框 ， 如 图 7-12 所 示 。 
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7-12 配置 Windows EAP 


@ inernet 


© 依次 选择 External User Databases ^ Unknown User Policy Check the following external 
user databases 命令 ， 将 External Databases 列表 框 中 的 Windows Database 移动 到 右边 的 


Selected Databases 列表 框 中 ， 完 成 后 再 重启 服务 ， 如 图 


Cisco Svsrtus 


E" [e 


Configure Unknown User Policy 


7-13 所 示 。 
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Q 由 于 使 用 AD 的 用 户 名 作为 认证 和 授权 ， 因 此 须 将 此 ACS 中 的 Group 与 AD 的 Group 
映射 。 依 次 选择 External User Database ^ Database Group Mappings ^ Windows Database 


一 New Configure 4, (t Detected Domains 列表 框 中 选择 SADNESS, Jf £i Submit 
按钮 ， 如 图 7-14 所 示 。 
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图 7-14 选择 域 
Q 单 击 SADNESS 链接 ， 在 打开 的 新 页 面 中 ， 从 列表 框 中 选择 Add Mapping 一 项 ， 并 把 


NT Groups 列表 框 中 的 组 添加 到 Selected 列表 框 中 ， 同 时 在 Cisco Secure group 下 拉 列 
表 框 中 选择 ACS 的 组 ， 并 单 击 Submit 按钮 ， 如 图 7-15 所 示 。 
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© 在 8o2.1x 认 证 中 , 所 有 使 用 802.1x 交换 机 都 是 RADIUS 服务 器 的 一 个 客户 端 ， 因 此 需 
要 向 RADIUS 服务 器 中 添加 一 个 客户 端 ， 添 加 方法 请 参见 6.3.3 一 节 。 这 里 需要 在 主机 
名 和 IP 地 址 文本 框 中 ， 分 别 填 入 需要 使 用 802.1x 交换 机 的 名 称 和 IP， 认 证 类 型 选择 
RADIUSGETF)， 如 图 7-16 所 示 。 
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7-16 添加 AAA 客户 端 


3. 在 网 络 接 入 设备 (交换 机 、AP) 上 启用 802.1x 认证 


1) 在 Cisco 交换 机 上 启用 802.1x 认证 

对 使 用 以 太 网 接 入 用 户 实施 802.1x 认证 时 ， 需 要 在 交换 机 上 配置 使 用 802.1x 认证 。 例 
如 ， 和 希望 用 户 认证 成 功 则 进入 用 户 VLAN(VLAN100)， 如 果 认 证 失败 ， 则 进入 VLAN 200. 
其 配置 过 程 如 下 。 
© 在 全 局 配置 模式 下 启用 AAA. 


Switch (config)#aaa newmodel 
Switch (Config)#aaa authentication dotlx default group radius 
Switch (Config)#aaa authorization network default group radius 


© 配置 RADIUS 服务 器 或 服务 器 组 。 


Switch (config)# radius-server host 192.168.1.101 key Cisco 
Switch(config)£radius-server vsa send authentication 


© 在 全 局 模式 下 启用 802.1x 认证 。 


Switch (config)#dot1x systemauthcontrol 
Switch(config)fdotlx guestvlan supplicant 


Q 将 需要 实施 用 户 接 入 控制 的 端口 配置 为 802.1x。 


Switch (config)#Interface fa0/1 

Switch (config-if)#switchport mode access 
Switch (config-if)#dotlx port-control auto 
Switch (config-if)#dotlx guestvlan 100 


"asp 
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Switch (config-if)#dotlx authfail vlan 200 
Switch (config-if)#dotlx hostmode multihost 


2) 在 AP 上 启用 802.1x 认证 
对 使 用 无 线 局 域 网 接 入 用 户 实施 802.1x 认证 时 ， 需 要 在 AP 上 配置 使 用 802.1x 认证 。 


假设 ，Sadness 公司 使 用 Cisco Aironet 系列 无 线 AP， 其 配置 过 程 如 下 。 
O 通过 Web 浏览 器 或 配置 程序 ,打开 AP 配置 界面 . 在 AP 上 定义 不 同 的 VLAN, 用 于 不 


同类 型 的 用 户 接 入 ， 如 图 7-17 所 示 。 
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El 7-17 在 AP 上 配置 VLAN 
© 为 不 同 的 VLAN 分 配 不 同 的 SSID， 并 且 可 以 配置 客户 所 使 用 的 认证 类 型 ， 如 图 7-18 


Bm. 


Cisco Aironet 1100 Series Access Point 


7-18 配置 SSID 
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© Cisco Aironet 系列 无 线 AP 支持 本 地 RADIUS 服务 器 。 若 没有 本 地 RADIUS 服务 器 ， 
可 在 AP 上 配置 相应 的 RADIUS 服务 器 ， 如 图 7-19 所 示 。 


Cisco Aironet 1100 Series Access Point ETSI 
IWANAGER 


SERVER 


æ shertestion Por (opionaly: 1025526) 
Accounting Por epdonag (025529) 
EC Gun 
EAP Ausherieaton. MAC Auaendleadon Accounting 
Piony 1 [cmm o) Pay: CEA Piny: CEA 
Pez [C Peayz C Pewz CEE 
Pudy2 [cmm 58) Porya CEEA Proity 3 CEE 


7-19 ”配置 RADIUS 服务 器 


© 为 了 无 线 网 络 安全 ，Cisco AP 还 支持 基于 WEP(Wired Equivalent Privacy， 有 线 对 等 保 
密 ) 协 议 来 设置 专门 的 安全 机 制 ,进行 业务 流 的 加 密 和 结 点 的 认证 ,其 配置 方法 如 图 7-20 
所 示 。WEP 主要 用 于 无 线 局 域 网 中 链 路 层 信息 数据 的 保密 ， 它 采用 对 称 加 密 机 理 ， 即 
数据 的 加 密 和 解密 采用 相同 的 密 钥 和 加 密 算法 。 
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4. 配置 基于 动态 VLAN 的 802.1x 认证 


上 面 对 交 换 机 和 AP 进行 802.1x 认证 配置 时 ， 都 使 用 静态 VLAN。 基 于 Cisco ACS 和 
Active Directory 的 架构 还 支持 动态 VLAN 的 配置 ， 即 根据 在 RADIUS 服务 器 上 所 定义 的 用 
户 信息 给 用 户 分 配 特 定 的 VLAN， 从 而 达到 相对 安全 且 相 对 灵活 的 网 络 结构 。 

配置 基于 动态 VLAN 的 802.1x 认证 主要 包括 两 部 分 ， 一 部 分 是 对 ACS 服务 器 进行 配 


另 一 部 分 是 对 接 入 交换 机 的 进行 配置 ， 下 面 分 别 给 予 介 绍 。 
1) M ACS 服务 器 


Hs 


在 浏览 器 地 址 栏 中 输入 http://ACS-server-ip:2002， 访 问 ACS 服务 器 。 打 开 页 面 后 依次 


选择 Interface Configuration ^ RADIUS (IETF) 命令 ， 选 中 Tunnel-Type . 


Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 三 个 复 选 框 ， 如 
Ca 
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7-21 
依次 选择 Group Setup > Group:X > Edit Settings 命令 ， 


配置 RADIUS 属性 


三 个 


Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 


选中 Tunnel-Type 、 


复 选 框 ， 并 将 Tunnel-Type 设 为 


VLAN, 将 Tunnel-Medium-Type 设 为 802， 将 Tunnel-Private-Group-ID 设 为 此 Group 用 


户 所 要 访问 的 VLAN 号 ， 如 图 7-22 所 示 。 
2) ”配置 接 入 交换 机 


采用 基于 动态 VLAN 的 802.1x 认证 时 ， 交 换 机 上 仅 需 进行 如 下 配置 。 


在 全 局 配置 模式 下 启用 AAA。 


Switch(config)£aaa newmodel 


Switch (Config)#aaa authentication dotlx default group radius 


Switch (Config)#aaa authorization network default group 


配置 RADIUS 服务 器 或 服务 器 组 。 


radius 


Switch (Config)# radius-server host 192.168.1.101 key Cisco 


Switch(config)£radius-server vsa send authentication 


在 全 局 模式 下 启用 802.1x 认证 。 


Switch (Config)#adot1Ix systemauthcontrol 
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图 7-22 配置 动态 VLAN 
Q 将 需要 实施 基于 动态 VLAN 的 认证 用 户 接 入 控制 端口 配置 为 802.1x。 


Switch (config)#Interface fa0/1 
Switch (config-if)#switchport mode access 
Switch (config-if)#dotlx port-control auto 


5. 配置 802.1x 客户 端 


802.1x 客户 端 可 以 是 通过 以 太 网 接 入 的 用 户 ， 也 可 以 是 以 无 线 局 域 网 接 入 的 用 户 ， 它 
们 的 配置 方法 相似 。 下 面 以 后 者 为 例 ， 介 绍 802.1x 客户 端的 配置 过 程 。 
© 在 浏览 器 中 输入 “http://CA-server-ip/certsrv”"， 在 证 书 服务 Web 页 面 中 单 击 【 下 载 一 个 
CA 证 书 ， 证 书 链 或 CRL] 链接 。 在 打开 的 【下 载 CA 证 书 、 证 书 链 或 CRL] Web 页 
面 中 单 击 【 下 载 CA 证 书 〗 链 接 ， 如 图 7-23 所 示 。 
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O 双击 已 经 下 载 的 证 书 文件 ， 在 弹出 的 对 话 框 中 单 击 【安装 证 书 】 按 钮 ， 然 后 根据 证 书 


导入 向 导 将 证 书 保 存 到 【受信 任 的 根 证 书 颁发 机 构 】〗】 下 的 Local Computer 中 ， 然 后 单 
x DE WU Aud 7-24 所 示 。 
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7-24 ”保存 证 书 


打开 【无 线 网 络 属性 】 对 话 框 , 选择 【验证 〗 选 项 卡 ,选中 【启用 此 网 络 的 IEEE 802.1x 
WEI ARE, HH [EAP 类 型 〗 下 拉 列 表 框 设置 为 【 受 保护 的 EAP(PEAP)】〗， 选 中 
【 当 计 算 机 信息 可 用 时 验证 为 计算 机 】 复 选 框 ， 然 后 再 单 击 【属性 〗 按 钮 。 在 打开 的 
【 受 保护 的 EAP 属性 〗】 对 话 框 中 ， 选 中 【验证 服务 器 证 书 〗 复 选 框 ， 同 时 在 【受信 任 
的 根 证 书 颁发 机 构 了 列表 框 中 选择 相应 的 根 证 书 颁发 机 构 , 这 里 选中 Sadness, 并 将 【 选 
择 验 证 方法 】 下 拉 列 表 框 设置 为 【安全 密码 (EAP-MSCHAP v2). 最 后 单 击 【确认 】 按 
钮 ， 如 图 7-25 所 示 。 这 时 将 弹出 提示 框 ， 询 问 是 否 自动 使 用 Windows 登录 名 和 密码 。 
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图 7-25 配置 802.1x 
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O 当 连 入 网 络 时 ， 如 果 在 前 面 一 步 没有 选中 【自动 使 用 Windows 登录 名 和 密码 】 复 选 框 ， 
则 会 在 右 下 角 会 弹出 一 个 提示 信息 ， 如 图 7-26 所 示 。 


图 7-26 ”提示 需 输入 网 络 用 户 名 和 密码 
O 单 击 右 下 角 的 提示 信息 后 , 输入 正确 的 用 户 名 和 密码 ， 即 可 连 入 网 络 ， 如 图 7-27 所 示 。 
xi 


MPW: |SadnessNetwork 
密码 @): cene] m 


Cw ] _ww | 


7-27 ”输入 网 络 用 户 名 和 密码 


的 点 评 与 拓展 : 802.1x 为 传统 网 络 提供 了 一 个 简单 的 接 入 身份 认证 功能 ， 应 用 实例 
介绍 了 基于 Windows AD 账号 的 统一 身份 认证 接 入 配置 的 方法 ; 在 提高 网 络 安全 的 同时 ， 
统一 的 账号 也 带 来 了 很 大 的 舒适 性 ,并且 可 以 用 于 基于 无 线 接 入 技术 的 共享 型 网 络 。802.1x 
虽然 解决 了 网 络 接 入 身份 认证 的 问题 ， 但 却 无 法 阻止 一 些 中 毒 的 主机 接 入 网 络 ， 而 中 毒 的 
原因 通常 是 软件 更 新 不 及 时 所 致 。 因 此 在 后 面 两 节 中 ， 我 们 将 介绍 微软 的 WSUS 自动 升级 
服务 以 及 Cisco 的 网 络 接 入 控制 (Cisco NAC) 架 构 。 


7.2 Windows 自动 更 新 


应 用 实例 导航 :架设 Windows 系统 补丁 服务 器 


AO EE 


ABC 学 院 接 入 到 中 国教 育 科研 网 的 带宽 是 100M， 随 着 用 户 的 添加 ， 用 户 普遍 反映 网 
速 太 慢 。 网 络 管理 员 在 监测 网 络 流量 时 发 现 ,很 大 一 部 分 流量 是 用 户 的 Windows 系统 更 新 。 
为 此 ， 该 学 院 的 网 络 中 心 决定 安装 一 台 WSUS 服务 器 ， 为 学 院内 部 用 户 提供 Windows 系统 
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更 新 服务 以 减少 这 方面 的 网 络 流量 ， 同 时 还 能 提高 内 部 用 户 Windows 系统 更 新 的 速度 。 
假设 拟 安装 WSUS 的 服务 器 IP 地 址 是 222.190.68.17， 域 名 是 wsus.abc.edu.cn。 


(1) 安装 WSUS 3.0 服务 器 端 软件 ; 

(2) 配置 WSUS 服务 器 ; 

(3) 管理 WSUS 服务 器 ; 

(4) 配置 WSUS 客户 端 ， 使 其 从 WSUS 服务 器 获取 Windows 系统 更 新 。 


7.2.1 WSUS 简介 


微软 经 常会 发 布 其 产品 补丁 程序 ， 如 果 没 有 及 时 安装 这 些 补丁 ， 计 算 机 将 会 有 漏洞 暴 
露 在 互联 网 上 。 所 以 即使 有 病毒 防火 墙 的 保护 ， 一 旦 相应 的 病毒 或 攻击 发 作 ， 机 器 仍然 会 
很 容易 中 招 ， 而 且 还 会 成 为 别人 进攻 的 对 象 。 

Windows Server Update Services( 简 称 WSUS)， 是 微软 公司 提供 的 一 种 免费 软件 ， 它 提 
供 了 Windows 部 分 操作 系统 的 关键 更 新 的 分 发 。 网 络 中 心 基于 此 技术 在 岛 内 构建 了 一 个 
WSUS 服务 器 ， 向 全 岛 的 网 络 用 户 提供 免费 的 WSUS 服务 ， 使 用 此 服务 可 以 快速 进行 部 分 
Windows 操作 系统 的 关键 补丁 的 更 新 ， 减 轻 在 病毒 发 作 时 从 美国 微软 更 新 的 时 间 ， 同 时 通 
过 运行 如 下 所 附 的 设置 程序 将 会 将 用 户 的 计算 机 的 更 新 完全 调节 好 ， 从 而 免除 用 户 担心 更 
新 问题 的 烦恼 。 

WSUS 目前 提供 对 微软 15 个 新 产品 和 8 个 新 分 类 的 更 新 , 新 产品 涵盖 了 Windows 2000 
家 族 、Windows XP 家 族 、Windows 2003 家 族 、Office 2000/XP/2003 家 族 、SQL Server 等 ; 
提供 更 新 的 8 个 分 类 为 : Feature Pack, Service Pack、 安 全 更 新 程序 、 更 新 程序 、 更 新 程序 
集 、 工 具 、 关 键 更 新 程序 、 驱 动 程序 。 当 适用 于 用 户 的 计算 机 的 重要 更 新 发 布 时 ， 它 会 及 
时 提醒 用 户 下 载 和 安装 。 使 用 自动 更 新 可 以 在 第 一 时 间 更 新 操作 系统 以 及 其 他 微软 产品 ， 
修复 系统 及 程序 的 漏洞 ， 保 护 计 算 机 安全 。 使 用 此 更 新 同 微软 的 在 线 升 级 并 无 冲突 ， 此 更 
新 系统 可 同步 微软 网 站 ,更 新 的 一 半 以 上 都 是 一 些 关 键 更 新 ， 为 使 补丁 齐全 ， 用 户 仍 然 可 以 
随时 访问 http://windowsupdate.microsoft.com/ 进 行 在 线 升级 打 全 补丁 。 

WSUS 服务 器 和 Microsoft Update 实现 客户 端 计 算 机 自动 更 新 的 方式 完全 相同 ， 通 过 
WSUS 可 以 实现 更 新 程序 的 集中 管理 和 分 发 ， 它 的 主要 优点 如 下 。 

$ ”通过 选择 的 方式 将 更 新 程序 (包含 Feature Pack. Service Pack、 安 全 更 新 、 关 键 更 
新 、 更 新 程序 、 更 新 程序 集 、 工 具 、 驱 动 程序 等 ， 可 选择 ) 从 Microsoft Update 下 
载 至 本 地 安装 源 ， 节 省 企业 外 部 网 络 带 宽 。 

今 “ 对 更 新 程序 进行 管理 ， 控 制 更 新 程序 的 分 发 ， 可 以 批准 更 新 在 客户 端 计 算 机 上 进 
行 安装 ， 或 者 仅仅 是 检测 客户 端 计算 机 是 否 需 要 此 更 新 程序 ， 也 可 以 拒绝 此 更 新 
程序 。 

令 “ 对 网 络 中 的 客户 端 计算 机 进行 分 组 ， 控 制 更 新 程序 在 不 同 客户 端 计算 机 上 的 分 发 。 

因此 ， 现 在 的 微软 更 新 服务 体系 为 三 级 结构 : Microsoft Update 一 本 地 企业 网 络 中 的 
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WSUS 服务 器 一 客户 端 计算 机 的 自动 更 新 ， 如 图 7-28 所 示 。 


3g 


USER 


USER 


Microsoft 
Windows Update 


图 7-28 三 级 更 新 结构 
在 部 署 WSUS 之 后 ， 只 需要 配置 客户 端 计算 机 使 用 WSUS 服务 器 上 的 更 新 服务 ， 就 可 
以 轻松 的 享受 WSUS 服务 器 所 带 来 的 好 处 。 例 如 ， 当 大 中 型 企业 网 络 部 署 WSUS 服务 器 以 
后 ， 内 部 客户 端 计算 机 可 自动 访问 WSUS 服务 器 来 获取 更 新 ， 免 除了 频繁 手动 安装 补丁 的 
麻烦 ， 节 省 了 大 量 的 外 部 网 络 带 宽 。 


7.2.2 安装 WSUS 服务 器 


要 安装 WSUS 3.0 服务 器 软件 ， 文 件 系 统 必 须 满足 以 下 要 求 。 
仿 “ 系 统 分 区 和 安装 WSUS 3.0 的 分 区 都 必须 使 用 NTFS. 文件 系统 进行 格式 化 。 
今 “ 系 统 分 区 至 少 留 出 1 GB 的 可 用 空间 。 
* WSUS 用 于 存储 内 容 的 卷 至 少 留 出 20 GB 的 可 用 空间 , 但 最 好 留 出 30 GB 的 可 
用 空间 。 
4 WSUS 安装 程序 安装 Windows Internal Database 的 卷 至 少 留 出 2 GB 的 可 用 空间 。 
在 满足 上 述 条 件 的 服务 器 上 ， 安 装 WSUS 3.0 服务 器 的 过 程 如 下 。 
@ 从 微软 网 站 下 载 如 表 7-1 所 示 的 软件 或 系统 补丁 。 
表 7-1 安装 WSUS 3.0 需 准备 的 文件 


下 R 地 址 
http://technet.microsoft.com/zh-cn/windowsserver/bb229701.aspx 
文件 名 为 : WindowsServer2003-KB914961-SP2-x86-CHS.exe 
http://go.microsoft.com/fwlink/?LinkID-47251 
文件 名 为 : WindowsServer2003-KB842773-x86-chs.exe 
http://go.microsoft.com/fwlink/?LinkID=68935 
文件 名 为 : dotnetfx.exe 
http://go.microsoft.com/fwlink/?LinkID=70410 
文件 名 为 : ReportViewer.exe 
http://technet.microsoft.com/en-us/wsus/bb466190 
文件 名 为 : WSUS3Setupx86.exe 


Q 安装 IIS。 在 安装 过 程 中 需要 选中 ASPNET 及 【启用 网 络 COM+ 访问 】 复 选 框 ， 如 
图 7-29 Fro. 


软件 名 称 


Windows Server 2003 Service Pack 2 


后 台 智 能 传送 服务 (BITS) 2.0 


Microsoft.NET Framework 2.0 版 可 重 
分 发 软件 包 (x86) 

Microsoft Report Viewer Redistributable 
2005 

WSUS 3.0 安装 程序 
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x 
Ei E Bet E. 亦 色 框 表示 只 会 安装 该 组 件 的 一 


应 用 程序 服务 器 HFH O: 


口 篇 应 用 程序 服务 器 控制 台 0.0 mm | 
描述 : 允许 此 计算 机 运行 ASP.NET 应 用 程序 。 


所 需 磁盘 空间 3.4 MB 信息 加 ) 

"REESE: er. ne | 

[RE 
图 7-29 安装 IIS 

Q X X Windows Server 2003 Service Pack 2. 


Q 安装 后 台 智 能 传送 服务 (BITS)2.0、Microsoft.NET Framework 2.0 版 可 重 分 发 软件 包 和 
Microsoft Report Viewer Redistributable 2005 等 WSUS 3.0 安装 必 备 组 件 , 这 些 组 件 都 是 
安装 WSUS 3.0 的 先决 条 件 ， 安 装 方法 很 简单 ， 这 里 就 不 做 介绍 了 OÈ: 如 果 只 安装 
Windows Server 2003 Service Pack 1， 还 需要 安装 用 于 Windows Server 2003 的 


Microsoft 管理 控制 台 3.0). 


Q 双击 WSUS 服务 器 的 安装 程序 WSUSSetup.exe， 打 开 安 装 向 导 页 ， 然 后 单 击 【 下 一 步 ] 


按钮 继续 ， 如 图 7-30 所 示 。 


KERA Toim O RR 


可 此 向 导 可 帮助 Windows Server Update 
: euo ERAS, RET lmm 


crosoft Update 


7-30 WSUS 安装 向 导 


O 在 【安装 模式 选择 】 向 导 页 中 ， 如 果 和 希望 在 此 计算 机 上 安装 服务 器 ， 选 中 【包括 管理 
控制 台 的 完整 服务 器 安装 】〗】 单 选 按钮 ; 如 果 仅 希 望 安装 管理 控制 台 ， 选 中 【 仅 限 管理 


控制 台 】〗 单 选 按钮 。 这 里 选择 前 者 ， 如 图 7-31 所 示 。 
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< 上 一 步 四 ) 取消 


图 7-31 【安装 模式 选择 】 向 导 页 


Q 在 【许可 协议 】〗 向 导 页 中 ， 仔 细 阅 读 许 可 协议 条 款 ， 选 中 【我 接受 许可 协议 条 款 】 单 
选 按钮 ， 单 击 【 下 一 步 〗】 按 钮 继续 ， 如 图 7-32 所 示 。 


| 请 注意 。 Microsoft Corporation (或 Microsoft Corporation 在 您 所 在 
的 关联 公司 ) 现 授予 您 本 补充 程序 的 许可 证 。 您 可 以 随 Microsoft. 
indows Server 软件 〔 即 本 补充 程序 适用 的 软件 ) 〔“ 软 件 ”) 的 

| 每 份 获得 有 效 许 可 的 副本 使 用 一 份 本 补充 程序 。 如 果 您 没有 软件 的 zl 


C 我 不 接受 许可 协议 条 款 QD. now... 


HEW L7] 


图 7-32 【许可 协议 】 向 导 页 


O 在 【选择 更 新 源 】 向 导 页 中 ， 根 据 需 要 选择 是 否 本 地 存储 更 新 。 如 果 选 中 【本 地 存储 
更 新 】〗 复 选 框 ， 则 会 将 更 新 存储 在 WSUS 3.0 服务 器 上 ， 同 时 需要 在 文件 系统 中 选择 
一 个 用 于 存储 更 新 的 位 置 。 如 果 不 在 本 地 存储 更 新 ， 客 户 端 计算 机 将 连接 到 Microsoft 
Update 以 获取 已 审批 的 更 新 。 这 里 将 存储 更 新 位 置 设置 为 “D:\WWSUS”， 单 击 【 下 一 
步 〗】 按 钮 继续 ， 如 图 7-33 所 示 。 

O 在 【数据 库 选项 〗】 向 导 页 中 ， 选 择 用 于 管理 WSUS 3.0 数据 库 的 软件 。 默认 情况 下 ， 
WSUS 安装 程序 将 会 安装 Windows Internal Database。 如 果 不 希 望 使 用 Windows 
Internal Database, 则 必须 为 WSUS 提供 要 使 用 的 SQL Server 实例 , 具体 操作 方法 是 : 
选中 【使 用 此 计算 机 上 现 有 的 数据 库 服务 器 】〗 单 选 按 钮 ， 然 后 在 框 中 输入 实例 名 。 此 处 设 
置 实例 名 为 “<serverName>\ <instanceName>”， 其 中 serverName 是 服务 器 的 名 称 ， 
instanceName 是 SQL 实例 的 名 称 。 这 里 选中 默认 的 【在 此 计算 机 上 安装 Windows 


«393.5 
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Internal Database)】〗 单 选 按钮 ， 并 将 数据 库 文件 存储 在 “D:\WSUS” 文 件 夹 中 .。 


后 单 击 【 下 一 步 〗 按 钮 继续 ， 如 图 7-34 所 示 。 


fð Yindows Server Update Services 3.0 安装 向 导 E: 


ARESE 国 
可 以 指定 客户 端 计算 机 从 中 获得 更 新 的 位 置 。 ] 


Bt A e A TE. noa NT 
kenaii aa » WRBERSORIG , 将 更 新 存储 在 Microsoft Update 上 ; 
SEP EEG AERE TE. um o BER. BÀ 


v EEBEHRER GS] 
pws ——  — i ü wo 


A] 取消 


图 7-33 【选择 更 新 源 】 向 导 页 


Ëg rindows Server Update Services 3.0 安装 向 导 ES 


数据 库 选项 国 
可 以 指定 Windows Server Update Services 3.0 的 数据 存储 位 置 . ] 


可 以 选择 安装 Windows Internal Database， 或 者 使 用 现 有 数据 库 服务 器 . 
应 在 至 少 有 2 GB 可 用 磁盘 空间 的 NTFS 驱动 器 上 安装 该 数据 库 . 


C ETRIE Windows Internal Database(D] 
pas O DNISOD.. 


€ 使 用 此 计算 机 上 现 有 的 数据 库 服务 器 (人 D 


C 使 用 远程 计算 机 (机 器 名 \ 实 例 名 ) 上 现 有 的 数据 库 服务 器 (R) 


-sw [TB] wa 


图 7-34 【数据 库 选项 】 向 导 页 


选择 好 


QD 在 【网 站 选择 】 向 导 页 中 ， 指 定 WSUS 3.0 将 使 用 的 网 站 。 如 果 要 在 端口 80 上 使 用 
默认 IIS 网 站 ， 请 选中 【使 用 现 有 DS 默认 网 站 】 单 选 按钮 。 如 果 端 口 80 上 已 有 一 
个 网 站 ， 可 通过 选中 【创举 Windows Server Update Service 3.0 网 站 】 单 选 按钮 ， 在 端 


H 8530 上 创建 备用 站 点 。 这 里 使 用 默认 设置 ， 单 击 【 下 一 步 〗 按 钮 继续 ， 如 
所 示 。 


图 7-35 


QD 在 【准备 安装 Windows Server Update Services 3.0】 向 导 页 中 ， 显 示 前 面 配 置 的 摘要 ， 


单 击 【下 一 步 〗 按 钮 继续 ， 如 图 7-36 所 示 。 
QD 此 时 ，WSUS 开始 进行 安装 ， 如 图 7-37 所 示 。 
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可 以 指定 用 于 Windows Server Update Services 3.0 Feb 服务 的 网 站 - & 


7-37 ”开始 安装 WSUS 
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O 安装 向 导 的 最 后 一 页 将 说 明 WSUS 3.0 安装 是 否 成 功 完成 。 若 安装 成 功 ， 单 击 【 完 成 了 
按钮 后 ， 将 启动 配置 向 导 ， 如 图 7-38 所 示 。 至 此 ，WSUS 服务 器 的 安装 就 完成 了 。 


fg Yindows Server Update Services 3.0 ZHAG E 


正在 完成 Pri rd Update 
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[完成 Windows Server Update Services 3.0 
Er lóa 


要 关闭 此 向 导 ， 请 单 击 "完成 "。 


7-38 WSUS 服务 安装 完成 


7.2.3 配置 WSUS 服务 器 


安装 WSUS 3.0 服务 器 后 ， 配 置 向 导 会 自动 启动 ; 也 可 以 稍 后 通过 WSUS 3.0 控制 台 
窗口 的 【选项 】 界 面 来 启动 配置 向 导 。 通 过 配置 向 导 配置 WSUS 服务 器 的 过 程 如 下 。 
O 配置 向 导 启 动 后 ， 在 【在 您 开始 之 前 】 向 导 页 中 ， 提 示 管 理 员 必 须知 道 的 几 个 问题 的 
答案 。 默 认 情况 下 , 将 WSUS 配置 为 使 用 Microsoft Update 作为 更 新 的 获取 位 置 。 如 
果 网 络 中 具有 代理 服务 器 ， 则 可 以 将 WSUS 配置 为 使 用 该 代理 服务 器 。 如 果 WSUS 
和 Internet 之 间 设 有 企业 防火 墙 ， 则 可 能 需要 配置 防火 墙 以 确保 WSUS 能 够 获取 更 
新 。 单 击 【 下 一 步 〗 按 钮 继续 ， 如 图 7-39 所 示 。 
cem 
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图 7-39 【在 您 开始 之 前 】 向 导 页 
© 在 【加 入 Microsoft Update 改善 计划 卫 向 导 页 中 ， 询 问 是 否 加 入 Microsoft Update 改善 
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计划 。 这 里 不 选中 复 选 框 表示 不 加 入 该 计划 ， 单 击 【 下 一 步 】 按 钮 继续 ， 如 图 7-40 


所 示 。 
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7-40 【加 入 Microsoft Update 改善 计划 】 向 导 页 


© 在 【选择 “上 游 服务 器 "了 向 导 页 中 ， 指 定 此 服务 器 获取 更 新 的 方法 ， 如 图 7-41 所 示 。 


+ 
+ 


+ 


如 果 选 择 从 Microsoft Update 进行 同步 ， 直 接 单 击 【 下 一 步 〗 按 钮 ; 

如 果 选 择 从 另 一 台 WSUS 服务 器 进行 同步 ， 指 定 该 服务 器 的 名 称 及 其 与 上 游 服务 器 
进行 通信 所 使 用 的 端口 ; 

如 果 要 使 用 SSL， 则 选中 【在 同步 更 新 信息 时 使 用 SSL]〗 复 选 框 。 在 这 种 情况 下 ， 服 
务 器 将 使 用 端口 443 进行 同步 。 此 时 要 确保 该 服务 器 及 上 游 服 务 器 都 支持 SSL; 

如 果 这 是 副本 服务 器 ， 则 选中 【这 是 上 游 服务 器 的 副本 】〗 复 选 框 。 


这 里 选中 【从 Microsoft Update 进行 同步 】 单 选 按钮 ， 单 击 【 下 一 步 】 按 钮 继续 。 


如 


AFLEZEN 
RAEUPASATN LIRIH 
E] GIORRIRSS A P MEER DURS. 
€ 从重 reenft ipinta TAS QD. 


在 必 开 始 之 前 
Microsoft Jpdata 浆 千 计划 


ELE C. IER Yindovs Server puto Services BERME QD 

tara Besa w 

amoa" z 

Bareta aso: P 

me Y- SEI: SEE BIS sa (5) 

Ld JOREIS SL AES EN IOS BABHMCECIEH SL 
EE 


amaz 
tm REE 
pien 


图 7-41 【选择 “上 游 服 务 器 ”】 向 导 页 


O 在 【指定 代理 服务 器 】 向 导 页 中 ， 进 行 代理 服务 器 设置 ， 如 图 7-42 所 示 。 


* 


如 果 此 服务 器 能 直接 访问 上 游 服 务 器 ， 直 接 单 击 【 下 一 步 】 按 钮 ; 


E 
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人 “如 果 此 服务 器 需要 代理 服务 器 才能 访问 上 游 服务 器 ， 则 选中 【在 同步 时 使 用 代理 服务 
器 】 复 选 框 ， 然 后 在 相应 的 框 中 输入 代理 服务 器 名 和 端口 号 (默认 端口 是 80); 

eo 如 果 要 使 用 特定 用 户 凭据 连接 到 代理 服务 器 ， 则 选中 【使 用 用 户 赁 据 连接 到 代理 服务 
器 】 复 选 框 ， 然 后 在 相应 的 框 中 输入 用 户 名 、 域 和 密码 ; 

eo ”如 果 要 为 连接 到 代理 服务 器 的 用 户 启 用 基本 身份 验证 ， 则 选中 【允许 基本 身份 验证 (以 
明文 形式 发 送 密码 )】 复 选 框 . 

在 本 例 中 ， eis leds 单 击 【 下 一 步 〗 按 钮 继续 。 
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图 7-42 【指定 代理 服务 器 】 向 导 页 


Q 在 【连接 到 上 游 服务 器 】 向 导 页 中 ,保存 和 下 载 上 游 服务 器 和 代理 服务 器 信息 ， 如 
图 7-43 所 示 。 单 击 【开始 连接 〗 按 钮 ， 将 会 保存 并 下 载 设 置 以 及 获取 有 关 可 用 更 新 的 
信息 。 当 建立 连接 时 ,【〖 停 止 连接 了】 按钮 将 变 为 可 用 。 如 果 连 接 出 现 问 题 ， 则 单 击 【 停 
止 连接 】 按 钮 ， 解 决 该 问题 ， 然 后 重新 启动 该 连接 。 在 下 载 成 功 完成 后 ， 单 击 【 下 一 
步 】〗】 按 钮 继续 。 
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图 7-43 【连接 到 上 游 服务 器 】 向 导 页 
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单 击 【 下 一 步 〗 按 钮 继续 


E] 
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Q 在 【选择 “语言 "】 向 导 页 中 ， 指 定 获取 所 有 语言 的 更 新 或 它 的 一 个 子 集 ， 如 图 7-44 
所 示 。 选择 一 个 语言 子 集会 节省 磁盘 空间 , 但 一 定 要 选择 此 WSUS 服务 器 的 所 有 客户 
端 将 需要 的 所 有 语言 。 如 果 选 择 仅 获取 几 种 语言 的 更 新 ， 则 选中 【 仅 下 载 这 些 语言 的 
更 新 】 单 选 按钮 ， 然 后 选择 所 需 的 更 新 语言 复 选 框 。 这 里 仅 选 中 【中 文 (简体 )〗 复 选 框 。 
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7-44 【选择 “语言 "】 向 导 页 


Q 在 【选择 “产品 "】 向 导 页 中 ， 指 定 所 需 更 新 的 产品 ， 如 图 7-45 所 示 。 可 以 选中 产品 类 
别 ( 如 Windows) 或 特定 产品 (如 Windows Server 2003)。 选 择 产 品类 别 后 ， 单 击 【 下 一 


步 〗 按 钮 继续 。 
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图 7-45 【选择 “产品 ”】 向 导 页 


O 在 【选择 “分 类 ”】 页 中 ， 选 择 要 获取 的 更 新 分 类 。 用 户 可 以 选择 所 有 分 类 或 它 的 一 个 子 


s [99s 
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集 ， 这 里 仅 选择 Service Pack、【 安 全 更 新 程序 】、【【 定 义 更 新 〗 和 【更 新 程序 〗4 项 。 单 
击 【 下 一 步 】 按 钮 继续 ， 如 图 7-46 所 示 。 


选 译 要 下 过 的 更 新 分 类 


可 以 指定 要 同步 的 更 新 分 类 - 
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所 有 分 类 ,包括 格 来 添加 的 分 类 。 
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7-46 【选择 “分 类 ”】 向 导 页 


Q 在 【设置 同步 计划 】 向 导 页 中 ， 可 以 在 其 中 选择 手动 执行 同步 ， 还 是 自动 执行 同步 ， 

如 图 7-47 所 示 。 如 果 选择 在 此 服务 器 上 手动 执行 同步 ， 则 必须 从 WSUS 管理 控制 台 
中 启动 同步 过 程 。 如 果 选 择 自动 执行 同步 ，WSUS 服务 器 将 按 指定 的 时 间 间 隔 进行 同 
步 。 这 时 需要 设置 首次 进行 同步 的 时 间 ， 并 指定 希望 此 服务 器 每 天 执行 的 同步 次 数 。 
例如 ， 如 果 指 定 每 天 同步 4 次 并 且 从 早晨 3:00 开始 ， 则 会 在 早晨 3:00、 上 午 9:00. 
下 午 3:00 以 及 晚上 9:00 Sai 同步 。 配 置 完毕 后 ， 单 击 【 下 一 步 〗 按 钮 继续 。 


E 


irosoft Update jT ROSGORIG 
A 可 以 于 动 同步 更 新 或 设置 二 天 的 自动 同步 计划 


Cab QD 
MERKEN 自动 同步 D 
第 一 次 同步 [5 EE 5 E: 
每 天 同上 一 次 四) - 


RAN avt nen 


ciem =o |; m 


图 7-47 【设置 同步 计划 】 向 导 页 
QD 在 完成 所 有 以 上 配置 后 , 进入 【完成 了 向 导 页 , 如 图 7-48 所 示 . 可 以 选中 【启动 Windows 
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Server Update Services 管理 控制 台 】 复 选 框 来 启动 WSUS 管理 控制 台 ， 以 及 选中 【 开 
始 初始 同步 】 复 选 框 来 启动 首次 同步 。 配 置 完毕 后 ， 单 击 【 完 成 】 按 钮 关闭 配置 向 导 。 
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图 7-48 【完成 配置 】 向 导 


7.2.4 ”配置 WSUS 客户 端 自动 更 新 


自动 更 新 是 WSUS 客户 端 软 件 。 除 网 络 连接 外 ， 自 动 更 新 无 须 任何 特殊 的 硬件 配置 。 

在 默认 的 情况 下 ，WSUS 客户 端 是 从 Windows Update 站 点 自动 更 新 ， 如 果 要 让 客户 端 从 上 
- 节 配 置 的 WSUS 服务 器 中 自动 更 新 ， 需 要 做 一 些 配置 。 

配置 WSUS 客户 端 自 动 更 新 的 操作 方法 取决 于 网 络 环境 ， 在 具有 Active Directory 的 
环境 中 ， 可 以 使 用 基于 域 的 组 策略 对 象 (GPO)。 在 没有 Active Directory 的 环境 中 ， 可 以 使 
用 本 地 的 GPO。 无 论 是 使 用 本 地 的 GPO 还 是 使 用 基于 域 的 GPO， 都 必须 先 将 客户 端 计算 
机 指向 WSUS 服务 器 ， 然 后 才能 配置 自动 更 新 。 下 面 以 在 没有 Active Directory 的 环境 中 
为 例 ， 介 绍 Windows XP Professional 自动 更 新 的 配置 步骤 。 
Q 在 客户 端 计 算 机 上 , 单 击 【 开 始 ] 一 【运行 ] 命 令 , 在 [打开 ] 下 拉 列 表 框 中 输入 gpeditmsc 

命令 ， 然 后 单 击 【 确 定 〗 按 钮 ， 如 图 7-49 所 示 。 
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图 7-49 打开 本 地 组 策略 


O 在 组 策略 对 象 编辑 器 中 ， 依 次 选择 【计算 机 配置 】 一 【管理 模板 】 一 【Windows 组 件 】 
一 Windows Update， 如 图 7-50 所 示 。 
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7-50 设置 组 策略 


© 在 右 侧 窗 格 中 ， 双 击 【 配 置 自动 更 新 ] 在 弹出 的 对 话 框 中 选中 【已 启用 】 单 选 按钮 ， 

然后 在 【配置 自动 更 新 〗 下 拉 列 表 框 中 选择 以 下 选项 之 一 。 

人 ”通知 下 载 并 通知 安装 : 该 选项 在 下 载 之 前 以 及 安装 更 新 之 前 通知 已 登录 的 管理 用 户 ; 

今 “ 自 动 下 载 并 通知 安装 : 该 选项 自动 开始 下 载 更 新 ， 然 后 在 安装 更 新 之 前 通知 已 登录 的 
管理 用 户 ; 

今 “ 自动 下 载 并 计划 安装 : 如 果 将 自动 更 新 配置 为 执行 计划 安装 ， 用 户 还 必须 设置 执行 定 
期 计划 安装 的 日 期 和 时 间 ; 

v ”允许 本 地 管理 员 选 择 设置 如 果 选 择 该 选项 ， 则 允许 本 地 管理 员 使 用 【控制 面板 】 中 
的 【自动 更 新 〗 来 自行 选择 配置 选项 ， 例 如 可 以 选择 自己 的 计划 安装 时 间 。 不 允许 本 
地 管理 员 禁 用 自动 更 新 。 

设置 完毕 后 ， 单 击 【 确 定 〗 按 钮 ， 如 图 7-51 所 示 。 


配置 自动 更 新 属性 


图 7-51 【配置 自动 更 新 属性 】 对 话 框 
o 在 右 侧 窗 格 中 ， 双 击 【 指 定 Intranet Microsoft 更 新 服务 位 置 〗 在 弹出 的 对 话 框 中 选中 


ss 
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【已 启用 】 单 选 按 钮 ， 然 后 在 【为 检测 更 新 设置 Intranet 更 新 服务 〗 文 本 框 和 【设置 
Intranet 统计 服务 器 〗 文本 框 中 输入 同一 个 WSUS 服务 器 的 URL. 例如 , 在 两 个 文本 
框 中 输入 “http://wsus.abc.edu.cn”。 配 置 完毕 后 ， 单 击 【 确 定 〗 按 钮 ， 如 图 7-52 所 示 。 
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7-52 指定 Intranet Microsoft 更 新 服务 位 置 


© 对 于 使 用 本 地 GPO 配置 的 客户 端 计算 机 ， 将 立即 应 用 组 策略 ， 而 刷新 将 需要 大 约 20 
分 钟 的 时 间 。 在 应 用 了 组 策略 后 ， 便 可 手动 启动 检测 。 如 果 手 动 启动 检测 ， 客 户 端 计 
算 机 不 必 等 待 20 分 钟 便 可 联系 WSUS。 手 动 启动 WSUS 服务 器 检测 方法 是 : 在 客 
户 端 计算 机 上 ， 单 击 【 开 始 〗 按 钮 ， 然 后 单 击 【 运 行 〗 命 令 。 在 【打开 】 下 拉 列 表 框 
中 输入 cmd, 然后 单 击 【 确 定 】 按 钮 。 在 命令 提示 符 下 , 输入 “wuauclt.exe /detectnow”。 
此 命令 行 选项 将 指示 自动 更 新 立即 联系 WSUS 服务 器 。 


7.3 NAC 网 络 接 入 控制 


7.3.1 终端 安全 接 入 概述 


根据 公安 部 最 近 公布 的 调查 数据 显示 ， 内 部 网 络 的 安全 、 计 算 机 本 身 的 安全 仍 是 企业 
安全 的 关键 。 目 前 出 现 了 几 种 安全 接 入 技术 ， 这 些 技术 的 主要 思路 是 从 终端 着 手 ， 通 过 管 
理 员 来 指定 的 安全 策略 对 接 入 私有 网 络 的 主机 进行 安全 性 检测 ， 自 动 拒绝 不 安全 的 主机 接 
入 来 保护 网 络 直到 这 些 主机 符合 网 络 内 的 安全 策略 为 止 。 目 前 具有 代表 性 的 技术 主要 有 : 
思科 的 网 络 接 入 控制 NAC 技术 、 微 软 的 网 络 接 入 保护 NAP 技术 以 及 TCG 组 织 的 可 信 网 络 
连接 TNC 技术 等 。 

1. NAC 技术 


网 络 接 入 控制 (Network Access Control，NAC) 技 术 是 由 Cisco 公司 主导 的 产业 链 协同 研 
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究 成 果 。NAC 可 以 协助 保证 每 一 个 终端 在 进入 网 络 前 均 符合 网 络 安全 策略 。 

在 网 络 中 部 署 Cisco NAC 后 ， 可 完全 依据 组 织 内 部 已 出 台 的 安全 策略 来 控制 PC、PDA 
及 服务 器 等 端点 设备 对 网 络 的 访问 。 Cisco NAC 拒绝 不 符合 要 求 的 设备 访问 网 络 ， 将 其 放 
置 在 隔离 区 或 限制 其 对 计算 资源 的 访问 。 


2. NAP 技术 


网 络 接 入 保护 (Network Access Protection, NAP) 技术 是 微软 公司 为 其 下 一 代 操 作 系 统 
Windows Vista 和 Windows Server Longhorn 设计 的 新 一 套 操作 系统 组 件 , 它 可 以 在 访问 私有 
网 络 时 提供 系统 平台 健康 校 验 。NAP 平台 提供 了 一 套 完 整 性 校 验 的 方法 来 判断 接 入 网 络 的 
客户 端的 健康 状态 ， 对 不 符合 健康 策略 需求 的 客户 端 限制 其 网 络 访问 权限 。 

为 了 校 验 接 入 网 络 的 主机 的 健康 状态 ， 网 络 架构 需要 提供 以 下 功能 性 领域 。 

信 ”健康 策略 验证 ， 判断 计算 机 是 否 适应 健康 策略 需求 。 

* ”网 络 访问 限制 ， 限制 不 适应 策略 的 计算 机 访问 。 

* ”自动 补救 为 不 适应 策略 的 计算 机 提供 必要 的 升级 ， 使 其 适应 健康 策略 。 

* ”动态 适应 :自动 升级 适应 策略 的 计算 机 以 使 其 可 以 跟 上 健康 策略 的 更 新 。 


3. TNC 技术 


可 信 网 络 连 接 (Trusted NetworkConnection, TNC) 技术 建立 在 基于 主机 的 可 信 计 算 技术 
之 上 ， 其 主要 是 通过 使 用 可 信 主 机 提供 的 终端 技术 ， 实 现 网 络 访问 控制 的 协同 工作 。 由 于 
完整 性 校 验 被 终端 作为 安全 状态 的 证 明 技术 ， 所 以 用 TNC 的 权限 控制 策略 可 以 估算 目标 网 
络 的 终端 适应 度 。TNC 网 络 架 构 会 结合 已 存在 的 网 络 访问 控制 策略 (例如 802.1x. IKE. 
RADIUS 协议 ) 来 实现 访问 控制 功能 。 

TNC 架构 主要 是 通过 提供 一 个 由 多 种 协议 规范 组 成 的 框架 来 实现 一 套 多 元 的 网 络 标 
准 ， 它 提供 如 下 功能 。 

今 “ 平 台 认证 : 用 于 验证 网 络 访问 请 求 者 的 身份 以 及 平台 的 完整 性 状态 。 

*? o ”终端 策略 授权 : 为 终端 的 状态 建立 一 个 可 信 级 别 例如 : 确认 应 用 程序 的 存在 性 、 

状态 、 升 级 情况 ， 升 级 防 病毒 软件 和 IDS 的 规则 库 版 本 ， 终 端 操 作 系 统 和 应 用 程 
序 的 补丁 级 别 等 ， 使 终端 被 给 予 一 个 可 以 登录 网 络 的 权限 策略 从 而 获得 在 一 定 权 
限 控制 下 的 网 络 访问 权 。 

* 访问 策略 : 确认 终端 机 器 及 其 用 户 的 权限 ， 并 在 其 连接 网 络 以 前 建立 可 信 级 别 ， 

平衡 已 存在 的 标准 、 产 品 及 技术 。 

今 “ 评 估 、 隔 离 及 补救 : 确认 不 符合 可 信 策 略 需求 的 终端 机 能 被 隔离 在 可 信和 网 络 之 外 ， 

如 果 可 能 执行 适合 的 补救 措施 。 


7.3.2 Cisco NAC 概述 
NAC 是 一 项 Cisco 发 起 的 、 多 家 厂商 参加 的 计划 ， 其 宗旨 是 防止 病毒 和 蠕虫 等 新 兴 黑 


客 技术 对 企业 安全 造成 的 危害 ,Cisco NAC 解决 方案 包括 NAC Appliance 和 NAC Framework 
两 种 模式 。 
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1. NAC Appliance 


NAC Appliance 由 Cisco Clean Access 系列 产品 构成 (如 图 7-53 所 示 ), 它 包括 CAM(Clean 
Access Manager), CAS(Clean Access ServeD 和 CAA Agent(Clean Access Agent )3 个 产品 。 


* 


* 


4 


图 7-53 Cisco NAC Appliance 


CAM: CAS 部 署 策略 ， 集 中 管理 CAS， 接 受 来 自 CAS 的 用 户 检查 报告 并 进行 分 
析 ， 告 知 CAS 用 户 的 健康 状况 。 

CAS: 接受 CAM 的 管理 , 拦截 用 户 HTTP 请 求 重新 定向 , 进行 Network Scanning, 
收集 CAA Agent 信息 等 功能 ， 并 发 送 给 CAM 分 析 ; 根据 CAM 检查 结果 ， 对 于 接 
入 用 户 分 配 ACL 限制 , 或 者 利用 SNMP 方式 通知 交换 机 对 用 户 进行 相应 的 VLAN 
分 配 操作 。 

CAA Agent: 用 于 客户 端的 轻 量 级 软件 , 用 于 收集 客户 机 相关 信息 , 如 Hotfix、AV、 


Anti-spware 等 。 


在 图 7-53 中 ，NAC Application 支持 CAS 使 用 串 接 (in-band) 或 者 劳 挂 (out-of-band) 两 种 
方式 连接 。 通 常 ， 串 接 方式 用 于 无 线 基站 、VOIP 电话 、 媒 体 流 共享 等 服务 使 用 ， 而 旁 挂 方 
式 则 用 于 快速 的 核心 交换 机 和 吞吐 量 较 高 的 网 络 使 用 ， 并 且 仅 支持 Cisco 的 交换 机 平台 。 

Cisco Clean Access 使 用 两 种 机 制 对 客户 机 状态 进行 检测 。 


E 


Network Scanning: 通过 集成 第 三 方 脆 弱 性 扫描 工具 实现 对 于 客户 端的 健康 状态 检 
查 ， 基 于 检查 结果 对 客户 机 采取 相应 的 准 入 控制 策略 。 此 方法 部 署 简单 ， 无 须 客 
户 端 安装 其 他 检测 程序 。 

在 客户 端 上 安装 CAA Agent: 由 CAA Agent 收集 客户 机 相关 信息 (如 Hotfix、AV、 
Anti-spware 等 ) 来 确定 主机 的 健康 状态 。 基 于 检查 结果 对 客户 机 采取 相应 的 准 入 控 
制 策略 。 此 方式 可 以 与 Network Scanning 集成 使 用 ， 两 者 同时 启用 的 情况 下 ， 认 
证 为 逻辑 AND 的 关系 ， 基 于 两 者 检查 结果 对 客户 机 采取 相应 的 准 入 控制 策略 。 


2. NAC Framework 
NAC Framework 是 最 初 的 安全 解决 方案 ， 它 由 网 络 接 入 设备 、Cisco 可 信 代 理 (Cisco 


Ms 
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Trust Agent, CTA)、Cisco 策略 /AAA 服务 器 (Cisco Secure ACS)、Cisco 安全 代理 (Cisco Security 
Agent，CSA) 以 及 第 三 方 的 反 病 毒 策 略 服务 器 构成 。 通 常 NAC 3 种 部 署 方式 。 
+ L2-dotlx: 用 户 需要 首先 进行 802.1x 认证 ， 在 认证 过 程 中 通过 EAP-FAST 进行 状 
态 确认 ，ACS 根据 检查 后 的 结果 为 用 户 分 配 不 同 的 VLAN， 它 通过 EAPo802.1x 
控制 ，Cisco 2900 系列 以 上 交换 机 都 支持 这 种 部 署 方 式 。 
$*  L2JIP: 用 户 不 需要 做 接 入 认证 ， 系 统 通过 PEAP 对 终端 进行 状态 确认 ， 确 认 后 将 
针对 每 个 卫 的 DACL 下 载 到 交换 机 ; 它 通过 EAPoUDP 控制 ，Cisco 3550 系列 以 
上 交换 机 支持 这 种 部 署 方 式 。 
* L3-IP: 在 三 层 设备 (如 Router 或 VPN Gateway) 上 做 状态 检查 和 策略 执行 ， 它 通过 
EAPoUDP 控 制 ,Cisco800 以 上 路 由 器 及 VPN Concentrator 3000 支 持 这 种 部 署 方式 。 
一 个 常见 的 NAC Framework 拓扑 结构 如 图 7-54 所 示 。 


7-54 Cisco NAC Framework 


首先 CTA 将 身份 认证 信息 和 主机 安全 信息 发 送 给 交换 机 ， 然 后 交换 机 将 认证 信息 转发 
给 ACS; ACS 收 到 信息 开始 处 理 并 与 目录 服务 器 交互 , 确认 用 户 权 限 ; 然后 ACS 检查 入 网 
计算 机 Service Pack, Hotfix 以 及 CSA 版 本 等 信息 , 并 与 第 三 方 反 病毒 策略 服务 器 进行 交互 ， 
确认 用 户 的 健康 状况 ;此 后 根据 反 病毒 策略 服务 器 以 及 AD 服务 器 的 信息 ， 判 断 是 否 通过 
认证 ,并 根据 验证 信息 向 交换 机 发 送 相 应 的 VLAN 及 ACL 信息 ;最 后 将 认证 结果 告知 CTA。 

通常 在 全 网 都 为 Cisco 设备 的 情况 下 ， 使 用 NAC Framework 相对 简单 并 且 成 本 低廉 ; 
而 如 果 网 络 中 有 很 多 的 第 三 方 设备 ， 则 需要 使 用 NAC Appliance 进行 配置 。 


7.3.3 配置 Cisco NAC 


在 本 章 开 始 的 时 候 已 经 介绍 了 基于 AD 和 Cisco Secure ACS 的 统一 身份 认证 来 实现 
802.1x 访问 控制 。 因 此 我 们 将 从 这 样 的 架构 升级 到 L2-dotlx NAC Framework。 所 需 的 配置 


组 件 如 下 。 
* Cisco Secure ACS v4.0 
<+ Microsoft CA and Active Directory /用 于 统一 身份 认证 
+ Trend Micro OfficeScan v7.0 /第 三 方 杀毒 软件 


下 面 简单 地 介绍 升级 L2-dotlx NAC Framework 的 配置 过 程 ， 主 要 过 程 包括 配置 Cisco 
Secure ACS、 在 接 入 交换 机 上 配置 NAC L2-dotlx、 安 装 并 配置 Trend Micro OfficeScan 第 三 
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方 杀毒 软 ， 件 以 及 在 客户 端 上 安装 Cisco Trust Agent. 
1. 配置 ACS 


将 802.1x 访问 控制 架构 升级 到 LL2-dotlix NAC Framework 架构 时 ， 需 要 对 RADIUS 服 

务 器 Cisco Secure ACS 进行 进一步 的 配置 ， 其 操作 步骤 大 致 如 下 。 

@ 按照 7.1 节 的 方法 配置 基于 AD 的 802.1x 认证 ， 然 后 将 第 三 方 软件 供应 商 的 ADF 文件 
复制 到 ACS 服务 器 上 。 以 Trend Micro 为 例 ， 其 名 称 一 般 为 Trendavp.adf。 首先 在 ACS 
服务 器 中 进入 ACS 安装 目录 ， 假 设 ACS 安装 在 系统 C di. MA C:Program 
Files\CiscoSecure ACS v4.0\bin， 运 行 如 下 命令 。 

C:\Program FilesNCiscoSeure ACS v4.0\bin>CSUtil.exe -addAVP C:\Trendavp.adf 
© 配置 内 部 状态 确认 .依次 单 击 Posture Validation 一 Internal Posture Validation Setup 链接 ， 


再 单 击 Add Policy 按钮 增加 一 个 Policy( 策 略 )， 输 入 名 称 和 说 明 信 息 后 ， 单 击 Submit 
按钮 ， 如 图 7-55 所 示 。 


Posture Validation Policy 3| Posture Validation Rules for CiscoNAC ?| 
Name: [CiscoNAC Description: NAC framework 
INAC framework Ir 

Description: 二 

1 TD Condition Notification 
Posture Token 
(Submit) (Cancel) String 
1 Default — Cisco:PA:Unknown 


= 二 = — 
Cane) @ 


7-55 ”增加 Posture validation Policy 


Q 增加 Policy 后 ， 还 需要 增加 新 Rule( 规 则 )。 单 击 Add Rule 按钮 ， 在 Rule 配置 中 单 击 
Add Condition Set 按钮 增加 Condition Set( 条 件 集 )， 并 在 Condition Set 配置 中 按照 预定 
策略 进行 配置 (可 以 配置 多 个 Condition) ， 最 后 在 Rule 配置 中 选择 Condition 内 部 和 
Condition 之 间 的 关系 ( 即 OR 或 AND)， 如 图 7-56 所 示 。 

Posture Validation Rule- CiscoNAC — ?| EA $i 


No Condition Sets 


© match 'OR inside Condition and 'AND' 
between Condition Sets 
© Match 'AND' inside Condition and 'OR' 
batwaan Condition Sets 


(C Add Condition Set) 一 ————————. 


[cisco:pa 
Posture Token: | d 


Notification — [ 
String: 


QSubit) (Cancel) (Emit) (Cancel) 


7-56 添加 Rule 


QQ 依次 选择 System Configuration > Global Authentication Configuration ^ EAP-FAST 
Configuration 命令 ， 对 EAP-FAST 进行 配置 ， 如 图 7-57 Prom. 
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System Configuration 
! 


EAP-FAST Configuration 


EAP-FAST Settings ? 
EAP-FAST 
M Atow EAP-FAST 


Active master key TTL 1 [months T8) 


图 7-57 配置 EAP-FAST 


[5] 添加 新 的 RAC。 依 次 选择 Shared Profile Components > RADIUS Authorization 
Components 命令 ， 单 击 Add 按钮 ， 如 图 7-58 所 示 。 在 L2-dotlx 配置 中 ， 至 少 需要 两 
种 RAC， 一 种 是 健康 的 (系统 默认 命名 为 Healthy)， 一 种 是 非 健康 的 (系统 默认 名 为 
Quarantine)。 在 RAC 内 部 加 入 相应 的 Attributes。 对 于 L2-dotlx， 需 要 配置 的 Attributes 
有 : Cisco-av-pair. Tunnel-Private-Group-ID 、Termination-Action Session-Timeout 、 
Tunnel-Type. Tunnel-Medium-Type (必须 与 Switch 中 VLAN 名 称 的 配置 一 样 )。 


Bi Shared Profile Components 
Dod m 


[piis] RADIUS Authorization 
RJ [E 


Components 


Heath ] 


?| 


x z D E) 


7-58 添加 RAC 


Q 配置 访问 控制 列表 (ACL) 只 允许 访问 WSUS 和 Anti-virus 服务 器 ， 而 拒绝 其 他 连接 。 依 
次 选择 Interface Configuration 一 Advanced Options 命令 ， 选 中 User-Level Downloadable 
ACLs 复 选 框 ,并 单 击 Submit 按 钮 .再 依次 选择 Shared Profile Components 一 Downloadable 
IP ACLs 命令 ， 单 击 Add 按钮 ; 输入 ACL 的 名 称 和 说 明 后 单 击 Add 按钮 ， 如 图 7-59 
所 示 。 


uer 

E TEES 
pT 
IE 


gissen) "ee puca 
| Description: |" S and AV server| 
E] EA 


Downloadable IP ACLs 


j 


[Sie] ES Downloadable IP ACL Content 
ES] 
E Ac Comet mmm] "me 0 permevsusav 
Av rmi 
[EE ACL Definitions. 
ERM i 
EE 


7-59 ”添加 Downloadabe ACL 
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[7] 添加 网 络 接 入 策略 (NAP)。 单 击 Network Access Profiles 按钮 ， 选 择 Add Profile 添加 一 


个 NAP， 并 在 NAP Name 配置 中 关联 相应 的 NAF。 完 成 配置 后 ， 将 出 现 如 图 7-60 所 
示 的 界面 。 


EE Network Access Profiles 
FEN. 


nt configuration has been changed. 'Apply and 
adopt the new settings. 


(e 


图 7-60 添加 NAP 后 的 界面 


Q 配置 认证 类 型 。 单 击 Authentication 按钮 ， 选 中 Allow EAP-FAST 复 选 框 ; 对 于 网 络 打 
印 机 等 设备 ， 还 需要 同时 选中 Allow MAC-Authentication By pass 复 选 框 ， 并 将 不 支持 
802.1x 的 可 信任 设备 MAC 地 址 加 入 其 中 ， 如 图 7-61 所 示 。 


FEI Network Access Profiles 


7-61 配置 MAC Authentication 


© 添加 新 规则 。 单 击 Posture Validation 按钮 ， 单 击 Add Rule 按钮 添加 一 条 Rule( 规 则 )。 
配置 完 Rule 后 ， 单 击 Submit 按钮 ， 如 图 7-62 所 示 。 

Q 在 Condition 项 中 添加 需要 检查 的 Credential Types， 系 统 默 认 有 3 个 : Cisco:Host、 
Cisco:HIP 和 Cisco:PA。 当 引入 ADF 后 ， 会 添加 相应 选项 ， 例 如 Symantec:AV、NALAV 
和 Trend:AV 等 。 
+ Action: 选中 在 Posture Validation 中 预先 定义 好 的 Validation Policies; 
+ Assessment Result Configuration: 对 不 同 的 Assessment Result 配置 不 同 的 PA Message; 

并 使 用 URL 重 定向 功能 用 来 提醒 用 户 ; 
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图 7-62 配置 NAP Posture Validation 
Authorization: 在 每 一 行 配置 中 ， 选 择 认证 用 户 组 、 评 估 结 果 ， 以 及 根据 这 个 结果 需要 
执行 的 RAC， 并 配置 相应 的 Downloadable ACL， 使 得 认证 失败 后 的 主机 仅 能 访问 
Windows 更 新 服务 器 以 及 Anti-Virus Server 杀毒 ， 如 图 7-63 所 示 。 


mem 
Wii Nen Access Profies 
ET EA 

Bu Autnortzation Rules tor Ccomacr E 

Á"— 有 


7-63 配置 Authorization Rules 
图 7-64 所 示 。 


QD 依次 选择 System Configuration > Logging 命令 ， 配 置 记录 日 志 ， 如 


CSV Passed Authentications File Configuration 


Enable Logging 3| 
8 Log to CSV Passed Authentications report 
Select Columns To Log 31 


— pep 


7-64 配置 系统 日 志 
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e 为 ACS 上 配置 外 部 策略 服务 器 .方法 是 依次 选择 Posture Validation 一 External Posture 


Validation Setup 一 Add Server 命令 ， 如 图 7-65 所 示 。 

注意 ，TM Policy Server 访问 URL 按照 如 下 格式 填写 。 
https://192.168.1.101:4344/antibody/cgi-bin/PostureRequest.dll?PostureRe 
quest 

IP 地 址 : Trend Micro Policy 服 务 器 地 址 

端口 号 : Trend Micro Policy 服 务 器 访问 端口 ， 默认 4344 

如 果 使 用 http 直 接连 接 ， 则 URI 为 : 
http://192.168.1.101:8081/antibody/cgi-bin/PostureRequest.dll?PostureReq 


uest 
默认 端口 8081 
Add/Edit External Posture Validation Server ?| 
Name [irename | 


Description [rrendMicro orncescan 7:5 tor cisco NAC  ] 


[petp://192.168.1.101:0081/206body/cci-bin] 


M Primary Server. 
configuration 


Trust 
Root CA 周 


[SadnesscA 


B secondary 
Server 
configuration 


Trusted | 
Root ca 


7-65 配置 外 部 策略 服务 器 


2. 配置 NAC L2-dot1x 


Cisco Secure ACS 配置 完成 后 , 还 需要 在 接 入 交换 机 上 配置 NAC L2-dotlx, 其 方法 如 下 。 

Q 在 交换 机 中 定义 两 个 VLAN, ， 例 如 符合 网 络 准 入 策略 的 用 户 进入 用 户 
VLAN(VLAN100)， 而 不 符合 网 络 准 入 策略 的 用 户 进入 VLAN 200, 注意 ，VLAN 名 称 
需要 和 ACS 中 RAC 一 致 。 


Switch (config)#vlan 100 

Switch (config-vlan)#name Health 
Switch (config)#vlan 200 

Switch (config-vlan)#name Qurantine 


© 按照 第 6 章 介 绍 ， 配 置 AAA 及 了 RADIUS 服务 器 。 


Switch (config)#aaa newmodel 

Switch (config)#aaa authentication dotlx default group radius 

Switch (config)#aaa authorization network default group radius 
Switch(config)faaa authorization cache filterserver radius 
Switch(config)faaa accouting network default start-stop group radius 
Switch(config)£radius-server host 192.168.1.101 key Cisco 
Switch(config)s$radius-server vsa send authentication 


© 在 全 局 配置 模式 下 ， 全 局 启用 dotlx 认证 。 


Switch (config)#dotlx systemauthcontrol 


«323 


m 网 络 安全 大 全 加 
O 在 需要 实施 终端 安全 接 入 控制 的 端口 中 启用 dotlx WE. 


Switch (config)#Interface fa0/1 
Switch(config-if)s$switchport mode access 
Switch(config-if)4dotlx port-control auto 
Switch(config-if)£spanning-tree portfast 


3. 安装 并 配置 第 三 方 杀毒 软件 


下 面 以 Trend Micro OfficeScan V7.0 为 例 ， 介 绍 在 L2-dotlx NAC Framework 架构 中 第 

三 方 杀毒 软件 的 安装 与 配置 方法 。 

Q 在 安装 Trend Micro Officescan V7.0 之 前 ， 需 要 确保 已 经 安装 TIS 或 Apache 等 Web 服 
务 器 。 

© 在 Trend Micro OfficeScan V7.0 安 装 过 程 中 ,需要 选中 Install Policy Server for Cisco NAC 
复 选 框 ， 如 图 7-66 所 示 。 


t setup to install on the target OfficeScan 


ect Eor WT iz mol installed on the target” 


SI Manager agent (any elstine Control Manager agent 
installation is automatically upgraded) 


FV Install Policy Server for Cisco NAC 
厂 Enable Agent Deployment for Cisco 
Type the full path of the local drive and directory where the 


Cisco Trust Agent certificate file is located (for exwaple: 
C etagent, cer). 


| ——————— 724: 


E ae tct 


7-66 ”选中 Install Policy Server for Cisco NAC 复 选 框 


© 在 安装 过 程 中 ， 可 以 选择 Policy Server 的 端口 以 及 Console 管理 密码 。 在 此 ， 我 们 使 用 
默认 的 端口 配置 (http: 8081，https:4344)， 如 图 7-67 所 示 。 


Web Serve! Configuration. 
Contgum the Web server 


Wet sever 


E a A 


Apache venion Pire 


Ser o 


Vaid Patad oi ee Ceriicue: [T 


a coe 


图 7-67 选择 Policy Server 端口 以 及 管理 密码 
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O 输入 和 先前 ACS 配置 相关 联 的 账号 和 密码 ， 用 于 控制 Policy Server( 策 略 服务 器 )， 如 
图 7-68 所 示 。 


InstallShield. 


Era 
图 7-68 完成 配置 


o 通过 “https://trendmicor-sv-ip:4344/” 远 程 访问 Policy Server， 输 入 管理 员 密 码 ， 进 入 配 
置 界面 ， 如 图 7-69 所 示 。 


a 


Ou- (7) - (s) [8] (8), [s (vieux aeaea 


rco [E ness 7102 168 toL c3et a oc omen ciast gon e 


TREND 
Policy Se 


Piense type yo: 


Password: | 


eee 


7-69 ”配置 TM Policy Server 


Q 依次 选择 Configurations 一 Rules 命令 配置 各 种 规则 。TM Policy Server 已 经 内 置 了 4 种 


规则 ， 分 别 为 : CheckUp. Healthy. Not Protected 和 Quarantine 配置 策略 。 如 果 管 理 员 
需要 定义 新 的 规则 ， 可 以 在 这 个 页 面 添 加 ， 如 图 7-70 所 示 。 


Q 配置 完 相应 的 规则 后 ， 可 以 依次 选择 Configurations 一 Policy 命令 来 定义 策略 ， 并 在 其 
中 可 以 自 定义 相应 的 消息 ， 返 回 给 CTA， 如 图 7-71 所 示 。 
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* Summary 
~ Configurations 


4 rule(s) (4 in use) 


Response Description 
p Recommended by Trend Micro 
Hesthy Recommended by Trend Micro 
Infected Recommended by Trend Micro 
Quarantine Recommended by Trend Micro 


4 rule(s) (4 in use) 


7-71 配置 TM Policy Server 策略 


4. X Cisco Trust Agent 


上 面 已 经 介绍 了 NAC Framework L2-dotlx 架构 中 相关 服务 器 和 交换 机 的 配置 方法 ， 对 
于 每 一 台 客 户 机 还 需要 安装 和 配置 Cisco Trust Agent. 


Q 在 安装 Cisco Trust Agent 前 ， 需 要 在 CTA 安装 目录 下 建立 一 个 名 为 Certs 的 目录 ， 并 将 
ACS 的 证 书 文 件 放 在 这 个 目录 下 , 则 CTA 安装 完成 后 将 自动 安装 这 个 证 书 ， 如 图 7-72 
所 示 。 
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2 103.0 Setep Say 
Welcome to the Cisco Trust 

Agent 2.1.103.0 Installation 

Wizard 


Itis strongly recommended that you exi all Windows programs 
before running this setup program. 


Click Cancel to quit the setup program. then close any programs 
you have running. Cick Next to continue the installation. 


WARNING: This program is protected by copytight law and 
intemational treaties. 


Unauthorized reproduction or distribution of this program, or any. 
portion of t, may result in severe civil and criminal penalties, and 
wil be prosecuted to the maximum extent possible under law. 


ETE TN 


7-72 安装 Cisco Trust Agent 


@@ 完成 安装 后 重新 启动 计算 机 ， 当 接 入 交换 机 时 ， 系 统 将 自动 进行 认证 和 状态 确认 的 过 
程 ， 如 图 7-73 所 示 。 


co Trust Agent 802 1I wired client 


Client Administration Help 


Manage Networks | 


ER 


Qd Cisco Trust Agent 802.1X ... Connected: Unauthenticated 


L- gl wwe。 Accelerated AMD P... Connected: Unauthenticated (AutoConnec 


| el Details. 
Connect Summary | Status. | 


7-73 E NAC 认证 


至 此 ， 我 们 完成 了 NAC Framework L2-802.1x 的 配置 。 


的 点 评 与 拓展 : Cisco NAC 是 一 个 相对 较为 安全 的 网 络 准 入 认证 方案 。NAC 
Framework 是 这 个 方案 的 第 一 阶段 ， 它 仅 支 持 全 网 均 为 Cisco 设备 时 的 安全 接 入 ， 但 NAC 
Framework 接 入 方案 的 价格 相对 低廉 ; 而 NAC Appliance 则 进一步 加强 了 NAC 的 性 能 ， 支 
持 多 种 设备 ， 并 且 可 以 通过 in-band 的 方式 来 应 对 接 入 交换 机 为 非 Cisco 产品 的 解决 方案 。 
当然 ， 终 端 安全 除了 网 络 准 入 控制 外 ，Cisco 还 支持 基于 CSA 的 终端 保护 方案 ， 下 一 节 我 
们 将 介绍 这 个 技术 。 


A 


网 络 安全 大 全 
7.4 终端 保护 机 制 


7.4.1 Cisco CSA 概述 


Cisco 安全 代理 就 是 一 种 基于 行为 规则 的 终端 防范 技术 ， 与 传统 的 终端 安全 解决 方案 相 
比 其 不 同 之 处 在 于 : 它 可 以 在 恶意 行为 发 生 之 前 发 现 并 阻止 它们 ， 进 而 消除 潜在 的 已 知 和 
未 知 的 安全 风险 ， 防 止 其 威胁 到 企业 网 络 和 应 用 的 安全 。 因 为 Cisco 安全 代理 采用 的 是 分 析 
行为 而 不 是 特征 匹配 的 方法 ， 因 而 这 个 解决 方案 能 够 以 较 低 的 运营 成 本 提供 强大 的 保护 。 
当 那 些 基于 签名 的 防 病毒 软件 、 个 人 防火 墙 需要 大 量 的 签名 库 更 新 的 时 候 ， 基 于 行为 规则 
分 析 的 Cisco 安全 代理 却 不 需要 那些 费时 费力 的 工作 。Cisco 安全 代理 按照 安全 级 别 将 行为 
分 成 三 类 。 

1. 一 般 的 恶意 行为 

这 种 行为 一 般 都 是 在 攻击 周期 的 后 期 进行 的 破坏 行为 ， 例 如 未 授权 的 对 操作 系统 进行 
更 改 或 文件 删除 。 由 于 这 类 恶意 行为 总 是 不 希望 发 生 的 ， 这 个 安全 级 别 的 部 署 将 非常 方便 。 
这 种 类 别 相关 的 安全 策略 也 一 般 不 需要 特别 订 制 ， 默 认 状态 即 可 

2. 总 体 安全 策略 相关 行为 

这 些 行为 包括 那些 也 许 并 不 是 明显 恶意 行为 ， 但 管理 人 员 不 希望 其 发 生 。 例 如 网 络 管 
理 员 不 希望 用 户 通过 那些 即时 通信 软件 (如 MSN Messenger、QQ、Yahoo Messenger 等 ) 下 载 
文件 ， 因 为 这 些 文件 无 法 经 过 公司 的 邮件 防 病毒 服务 器 扫描 。 

3. 特定 应 用 系统 相关 的 行为 

对 于 那些 系统 安全 要 求 特别 高 的 场合 ，Cisco 安全 代理 可 以 完全 锁定 整个 特定 应 用 。 只 
有 那些 已 知 安全 的 行为 才能 被 这 个 应 用 允许 执行 。 通 过 强制 限定 这 些 合法 、 良 好 的 行为 ， 
在 这 些 合法 行为 之 外 的 任何 行为 ， 无 论 是 一 个 攻击 还 是 简单 的 堆栈 溢出 错误 ， 都 可 以 被 很 
有 效 地 防范 。 其 基本 原理 就 是 “任何 没有 明确 被 允许 的 将 被 禁止 ”>。 这 种 方法 提供 了 最 高 的 
系统 安全 ， 但 也 需要 更 多 的 管理 人 员 的 调整 。 一 般 只 限于 某 些 重要 的 服务 器 。 


7.4.2 Cisco CSA 架构 及 工作 原理 


CSA(Cisco Security Agent，Cisco 安全 代理 ) 由 于 具有 同 操作 系统 内 核 紧密 结合 的 特点 ， 
所 有 对 系统 资源 、 配 置 、 网 络 应 用 、 文 件 读 写 等 的 呼叫 都 将 被 Cisco 安全 代理 所 截获 ， 这 种 
技术 称 为 INCORE(Intercept Correlate Rules Engine) 技 术 。 

比 简 单 截 获 这 些 系统 呼叫 更 重要 的 是 ，Cisco 安全 代理 将 这 些 系统 呼叫 实现 智能 的 关 
联 。 这些 关联 结果 和 对 某 个 应 用 的 行为 规则 的 结论 性 理解 形成 了 Cisco 安全 代理 防范 新 的 入 
侵 的 基础 。 

当 一 个 应 用 程序 需要 访问 某 个 系统 资源 时 ， 它 会 产生 一 个 操作 系统 呼叫 到 系统 内 核 。 
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INCORE 会 截取 这 些 呼叫 然后 将 这 些 呼叫 同 那些 存储 在 中 心服 务 器 上 的 策略 进行 比较 (这 些 


策略 也 可 以 下 载 各 个 终端 )。 它 会 将 这 个 特定 的 系统 呼叫 同 该 应 用 发 起 其 他 呼叫 进行 关联 ， 
然后 来 检测 恶意 的 行为 。 如 果 呼 叫 请 求 没有 违反 任何 的 策略 ， 将 会 提交 内 核 运 行 ， 如 果 确 
实 违法 了 策略 ， 将 会 被 阻止 ， 一 个 相应 的 错误 信息 将 会 被 传递 回应 用 程序 ， 然 后 一 个 警告 
将 会 产生 并 送 往 管理 终端 。 

Cisco 安全 代理 策略 是 IT 部 门 分 配给 每 个 服务 器 或 工作 站 的 行为 规则 的 集合 。 这 种 以 
应 用 为 中 心 的 访问 控制 规则 (不 是 基于 用 户 或 ID) 提 供 对 需求 资源 的 安全 控制 。Cisco 为 企业 
提供 能 够 容易 被 应 用 或 模块 化 的 订 制 策略 部 署 工具 。Cisco 安全 代理 能 够 为 服务 器 迅速 提供 
重要 的 入 侵 保护 功能 和 分 布 式 防火 墙 能 力 ， 这 种 解决 方案 也 可 以 非常 容易 地 被 部 署 用 作 保 
护 一 些 公共 应 用 程序 , 例如 Microsoft SQL 服务 器 、Microsoft Office、 即 时 通信 软件 、IIS Web 
服务 器 等 。 这 些 策 略 能 够 被 在 最 少 配置 的 情况 下 迅速 部 署 保护 关键 服务 器 和 工作 站 。 

Cisco 安全 代理 的 管理 中 心 采 用 代理 -管理 器 (服务 器 ) 的 架构 (如 图 7-74 所 示 ), 当 某 个 策 
略 在 管理 服务 器 上 创建 或 修改 时 会 自动 地 分 配 到 所 有 的 代理 终端 上 。 管 理 员 可 以 通过 一 个 
安全 的 Web 页 面 进入 管理 图 形 界面 ， 允 许 在 企业 内 部 任何 地 方 来 进行 管理 ， 避 人 免 使 用 那些 
不 安全 的 远程 访问 方式 。 代 理 终端 也 会 定时 轮 询 服务 器 获得 策略 更 新 或 是 软件 版 本 更 新 ， 
或 实时 发 送 警 告 信 息 。 所 有 的 代理 -管理 服务 器 之 间 的 通信 都 是 加 密 的 和 使 用 标准 协议 。 


7-74 Cisco CSA 架构 


CSA 服务 器 端 称 为 Cisco 安全 代理 管理 中 心 (Cisco CSAMC，CiscoWorks Management 
Center for Cisco Security Agents), 当 出 现 异 常 后 ,Cisco CSA MC 还 会 向 CS-MARS Cisco IPS, 
以 及 电子 邮件 和 Web 等 多 种 方式 向 外 报告 异常 行为 。 同 时 ， 当 管理 员 定义 了 相应 的 异常 处 
理 行为 后 ，CSA MC 将 主动 把 这 些 策略 向 下 分 发 到 CSA， 完 成 安全 部 署 。 

以 Nimda 病毒 为 例 , Nimda 是 一 种 传播 非常 迅速 的 病毒 ， 它 能 够 通过 电子 邮件 的 附件 、 
浏览 受 感染 的 网 站 的 用 户 ， 以 及 利用 存在 漏洞 的 Microsoft IS Web 服务 器 在 企业 中 传播 。 
传统 的 做 法 是 采用 路 由 器 或 交换 机 上 基于 NBAR( 基 于 网 络 的 应 用 识别 ) 的 过 滤 方 式 , 其 配置 
如 下 。 


ip cef 

! 

class-map match-all DENY-ATTACK 
match protocol http url "*.ida*" 
match protocol http url "*cmd.exe*" 
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match protocol http url "*root.exe*" 
match protocol http url "*readme.eml*" 


match protocol http url "*readme.exe*" 
1 


policy-map denynimda class DENY-ATTACK drop 

interface FastEthernet 1/0 

ip address 10.0.0.1 255.255,.255.2952 

service-policy input denynimda 

然而 ， 这 种 阻止 Nimda 进一步 扩散 的 方式 与 Microsoft 公司 已 经 发 布 了 针对 TIS 服务 器 
漏洞 及 Internet Explorer 补丁 一 样 属于 被 动 防御 结构 ， 在 受到 攻击 后 仍然 有 大 量 的 设备 被 感 
染 。CSA 中 的 默认 TIS 和 桌面 策略 可 以 防止 企业 受到 Nimda 的 攻击 。 在 遭遇 Nimda 病毒 时 ， 
CSA CM 可 以 发 送 策略 给 CSA 阻止 针对 IIS 服务 器 的 缓存 溢出 攻击 , 防止 它 在 网 络 中 传播 。 
CSA 的 默认 桌面 策略 也 可 以 禁止 下 载 和 调用 木马 程序 ， 例 如 readme.exe 等 ， 在 Nimda 试图 
通过 Outlook 或 者 Web 浏览 器 感染 一 个 企业 时 ， 可 以 有 效 地 防止 Nimda 对 企业 造成 损失 和 
在 企业 中 蔓延 。 


7.4.3 安装 Cisco CSA MC 


Cisco CSA MC 是 整个 CSA 体系 中 最 重要 的 部 分 。 它 是 CSA 的 管理 器 ， 用 于 策略 的 创 

建 、 修 改 以 及 分 配 。 这 种 通常 CSA MC 可 以 支持 三 种 安装 模式 。 

v ”安装 CSA MC 和 数据 库 在 同一 台 服 务 器 上 (安装 CSA MC 时 选择 Local Database 
Ta): 这 种 模式 的 数据 库 使 用 Microsoft SQL Server 2005 Express Edition， 仅 支持 
少量 客户 端 ， 当然， 用 户 可 以 安装 SQL Server 2005 支持 5000 用 户 的 环境 。 

v ”安装 CSA MC 在 一 台 服 务 器 上 ， 数 据 库 安装 到 远程 的 另 一 台 设 备 上 (安装 CSA 
MC 时 选择 Remote Database 按钮 ): 这 种 模式 的 数据 库 和 MC 分 离 ， 进 一 步 提高 
了 安全 性 和 性 能 。 需 要 注意 的 是 ， 两 台 机 器 需要 用 NTP 同步 时 钟 ， 并 且 同 样 支持 
5000 用 户 的 环境 。 

+ ”将 两 个 CSA MC 分 别 安装 到 两 台 服 务 器 上 ， 数 据 库 安装 到 远程 的 另 一 台 设 备 上 ， 
两 个 CSA MC 使 用 同一 个 数据 库 。( 安 装 CSA MC 时 选择 Remote Database 按钮 ): 
这 种 模式 是 Cisco 推荐 给 较 大 规模 企业 网 络 部 署 的 模式 ， 可 以 支持 100 000 用 户 ， 
并 且 其 中 一 个 MC 用 于 客户 端 注 册 和 策略 分 法 , 另 一 个 MC 用 于 策略 编辑 和 配置 。 

下 面 介绍 的 是 基于 Windows Server 2003 R2 的 平台 上 安装 CSA MC 的 过 程 。 

Q 双击 CSA MC 安装 程序 ， 在 欢迎 界面 中 单 击 Next 按钮 ， 同 意 协议 后 ， 再 次 单 击 Next 
按钮 ， 如 图 7-75 所 示 。 

@ 在 数据 库 选 择 对 话 框 中 ， 如 果 为 上 述 第 一 种 安装 模式 ， 采 用 单 台 主 机 安装 CSA MC, 
则 选择 Local Database， 如 果 为 后 两 种 安装 模式 ， 则 选择 Remote Database ， 如 图 7-76 
所 示 。 

© 选择 Local Database 安装 方式 后 ， 如 果 系 统 没 有 安装 Microsoft SQL Server 2005， 则 会 
弹出 对 话 框 提示 安装 Microsoft SQL Server 2005 Express Edition， 单 击 Yes 按钮 。 
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7-75 安装 Cisco CSA MC 


anagement Center for Cisco Security Agents V5.2 


Q Local Database: Pt figuration information in the local database 


aintains all c alion dala on al machine. 
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nstalled and 
continue th installation. Consul the install guide for instructions on 
instaling a remote database. 


Æ 7-76 选择 Cisco CSA MC 数据 库 类 型 


O 在 选择 安装 目录 的 对 话 框 ， 选 用 默认 设置 并 单 击 Next 按钮 ， 系 统 会 提示 输入 管理 员 名 
称 和 密码 ， 单 击 Next 按钮 ， 如 图 7-77 所 示 。 
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Management Center for Cisco Security Agents V5.2 


Admin 


Install 


7-77 配置 Cisco CSA MC 管理 账户 
@@ 开始 安装 系统 ， 并 在 安装 完成 后 自动 重新 启动 计算 机 ， 如 图 7-78 所 示 。 


gement Center for Cisco Security Agents V5.2 


etup Status 


Management Center for Ciscc 
installatior 


Ye/altach dalab: 
ulate and refresh 


relation rules into 
into dat 

on tasks 
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7-78 ”开始 安装 Cisco CSA MC 


新 启动 后 ， 在 浏览 器 中 输入 “https://CSAMC-ip/csamc52/webadmin?page=login” 
以 以 Web 方式 访问 MC ， 如 图 7-79 所 示 。 
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LE B8 Quee 


El 7-79. 以 Web 方式 登录 Cisco CSA MC 


Q 输入 用 户 名 和 密码 后 即 可 登录 CSA MC。 在 管理 界面 菜单 中 包含 了 事件 、 系 统 、 配 置 、 
分 析 、 维 护 、 报 告 、 查 找 和 帮助 S 大 功能 模块 ， 如 图 7-80 所 示 。 


mmi Management Center for Cisco Security Agents V5.2 
cisco 


Events Systei nance Reports Search Help 


» Events recorded in the past 24 hours: 2 
> Host history collection enabled: Nom 
= Active hosts with Cisco Security Agent security disabled: on 
» Hosts not actively polling (status unknown): o 
> Groups with no policies attached: 2u 
= Query rules with saved answer in the past 24 hours: í 
Most Active (last 24h-) 
"Hoss| "Rules  » Applications  » Rules. Applications 
sadnesscm [W] [2 events] (Top 10] 
Event Counts Per Day ] 
25 
a Error and above 
H * informal 
LE S 


Logged in as: Admin 


7-80 登录 Cisco CSA MC 


o 加 载 注册 文件 。 选 择 Maintenance — License Information 命令 ， 将 打开 Cisco 发 给 用 户 的 
License 邮件 ， 将 附件 中 的 .lic 文件 另存 到 硬盘 ， 并 单 击 CSA MC 中 的 【浏览 〗】 按 钮 ， 
找到 该 文件 ， 单 击 Upload 按钮 即 可 导入 License ， 如 图 7-81 所 示 。 
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Mm Management Center for Cisco Security Agents V5.2 logo | 
cisco 


: valid 


Eas al 
license Usage Counts 


Licensed desktop agents: 0 (current usage: 0) 
Licensed server agonts: 4 (current usage: 0) 


[Update License Information 


4G3C800070922162282771 1c — (WR...) 


Noe: a icense fle cannot exceed 3000 bytes 


Upload the license fle: 


UL | goo | [re me cenger perena ETT) 


7-81 导入 License 


7.4.4 配置 Cisco CSA MC 


Cisco CSA MC 内 含 预 配置 的 组 件 来 处 理 代理 策略 ， 它 包括 如 下 三 个 部 分 。 

* ”组 (Group): 分 配 安全 策略 的 主机 的 集合 ，( 这 里 包括 预 置 的 Servers-All Types. 
Desktops-All Types 和 Serves-Apache Web Servers 等 组 项 )， 并 且 一 个 主机 根据 功能 
划分 可 以 成 为 多 个 组 的 成 员 。 

仿 “ 策略 (Policy): 附属 于 一 个 或 多 个 组 ， 一 个 策略 是 具有 相似 目的 或 互相 依赖 完成 整 
个 工作 任务 的 规则 模块 的 集合 。 

今 “ 规 则 (Rule): 附属 于 一 个 或 多 个 Policy， 它 是 一 个 用 于 实现 一 个 目标 规划 的 集合 。 

通过 这 三 者 的 相互 关联 ， 形 成 了 一 个 完善 的 基于 行为 的 策略 体系 ， 并 且 主 机 组 能 够 减 

少 管理 大 量 主机 代理 工具 的 负担 。 网 络 中 的 全 部 主机 ， 包 括 该 域 中 的 移动 主机 ， 只 有 安装 
和 配置 了 管理 中 心 赋予 策略 的 安全 代理 工具 的 主机 ， 才 能 够 注册 到 管理 中 心 并 接受 安全 防 
护 管 理 。 

Cisco CSA MC 全 部 基于 Web 方式 配置 ， 可 以 用 如 下 URL 登录 到 管理 界面 。 


http://«Cisco CSA MC-ip 地 址 >/csamc52/webadmin?page=login 

Q 添加 组 .依次 单 击 System-Groups 命 令 , 可 以 看 到 系统 已 经 为 Linux. Solaris 和 Windows 
三 种 系统 定义 了 很 多 默认 组 ， 用 户 可 以 单 击 左下 角 的 New 按钮 添加 组 .添加 组 时 ， 首 
先 系统 会 让 用 户 选择 可 支持 的 平台 ， 选 择 后 在 新 的 窗口 中 就 可 以 定义 组 名 、 详 细 描述 
以 及 导入 配置 间隔 (Polling Interval) 等 参数 。 单 击 Save 按钮 保存 配置 ， 如 图 7-82 所 示 。 


922279 


m 第 7 章 ”网 络 安全 接 入 = | "-- 


abali Management Conter for Cisco Security Agents v5.2 


5203 
szrzoa 


52r203 
S2203 


S52r203 
S2203 


saraa |. 


52003 
S52r203 


52003 


EHE 
Select Target Areneecnre — FIBRE @ 


broa 


Which is your target 
chitecture? 


daos 


A 


Leoa 


Abphcation Deployment Investigation enabled: No [Ezaciz a] 


oann 一 一 一 


L No posey rules enforced on this group 1 


7-82 添加 组 CSA MC 中 的 Group 
© 配置 策略 .依次 单 击 Configuration Polices 命令 ， 如 图 7-83 所 示 。 


Logout | Help | About 


aleae Management Center for Cisco Security Agents V5.2 


cisco Events "s Configuration Analysis Maintenance Reports Search Help 


5.2 r203 Policy which governs Agent Us. 
Interface 


5.2 r203 Base policy for behavioral moi 
of applications. 

5.2 r203 Base policy for behavioral clas: 
of applications. 

5.2 r203 Base policy for Cisco Trust Ag: 
Network Admission Control 


5.2 r203 Base policy for Cisco VPN Clier 
remote access 


5.2 r203 The security policy for CSA 
Management Consoles 


5.2 r203 Application enforcement policy. 
DHCP server. 


7-83 ”配置 CSA MC 策略 


O 在 策略 配置 页 中 ， 配 置 策略 的 名 称 、 要 应 用 到 的 目的 系统 等 ， 如 图 7-84 所 示 。 

© 配置 规则 模式 。 依 次 单 击 Configuration 一 Rule Module 命令 ， 在 子 菜单 中 可 以 选择 配置 
Linux/Window 或 者 Solaris 的 规则 ， 单 击 New 按钮 可 以 创建 新 规则 组 ; 并 且 在 顶部 可 
以 单 击 Modify Rules 进入 规则 配置 模式 , 单 击 Add Rule 按钮 配置 不 同 的 规则 ,如 图 7-85 
Br. 

© 将 CSA MC Policy 与 Group 和 Rule Module 进行 关联 。 依 次 单 击 Configuration Policy 
命令 ， 选 择 相应 的 Group 以 及 Rule Module 进行 关联 ， 如 图 7-86 所 示 。 
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bali Management Center for Cisco Security Agents V5.2 Logout | Help | About 
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No references found. 


图 7-84 配置 CSA MC 策略 
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7-85 配置 规划 模式 
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abaj Management Center for Cisco Security Agents V5.2 Logrxt | Hei Abc 


Events Systems 


Configuration Analy earch Help 


* Reports Search Help 


UL — saved changes. 


Unattached Windows rule modules: 


Attached Windows rule modules: 
O Solars |A Piot Test [An ngows, v5.2 r203] n 
Bi Window: |Apache Web Server [AII Windows, V5.2 r203] ddss. Agent UI Module [A Windows, V6.2 rz 
I— ————— |Appiication Behavior Monitoring Module [Al Windows. V5.2 r203) 
Cisco Secure Desktop Module [All Windows. V5 2 1205] 
Combined |Csco Secure Tunneling Client: Module [Al Windows, V5.2 r205] Remove 


Cisco Trust Agent Module [AII Windows. V5.2 1203] 
Cisco VPN Client Module [AI Windows, V5 2 r203] [uu 


ldouble-dicis module to 


No references unattached UNIX rule modules: Attached UNTX rule modules: 


Network Application Ciassificalion Module [AI UNIX. V5 2 r203) 
Network Lockdown Module [At UNX. V5 2 r203) 


Application Behavior Montoning Modue [AI UNIX, V5.2 r203] z 
[ra rg File Server Module JAI UNX. V5 2 r203] Add>> 
File System Lockdown Module [AI UNIX. V5 2 r203] 
IP Stack Hardening Mocule - External Systems [Al UNIX, V5.2 r203] 
IP Stack Hardening Mocule - Internal Systems [All UNIX, V6.2 r203] EE 


7-86 将 CSA MC Policy 5 Group 和 Rule Module 关联 


O 创建 客户 Host 需要 下 载 的 代理 包 。 依 次 单 击 Systems Agent Kits 命令 ， 选 择 安装 方式 
为 强制 安装 或 静默 安装 等 。 完 成 配置 后 单 击 Make kit 按钮 ， 如 图 7-87 所 示 。 
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Sadness Netowrk 
Description 


Target architecture 
Windows 


Select the groups with which this kit 
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Desktops - All types [V5.2 r203] 

Desktops - Remote or mobile [V5.2 r203] 
Servers - All types [V5 2 r203] 

Servers - Apache Web Servers [V5 2 203] I 


© Force reboot after install 


C Quiet install 回 
O Install Cisco Trust Agent (optional software) 


7-87 配置 Agent Kits 


Q 完成 所 有 的 配置 后 ， 单 击 Generate Rules 按钮 让 MC 完成 所 有 规则 的 配置 和 发 布 ， 如 
图 7-88 所 示 。 
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Events Systems Configuration Anal aintenance Reports Search Help 


Operation completed. 
ic: Test Mode Deskccp V5.2.0.203 (no change) Ir 
Eie: Test Mode Server 75.2.0.203 (no change) 

|sadnesscm (new settings) 

Eie: Management Center V5.2.0.203 (like sadnesscm) (new settings) 

Updating ali hosts settings 

Rule Generation complete k 
EC 一 


Rule program generation successful. 


7-88 ”完成 配置 和 发 布 


Q 导出 、 导 入 及 审计 配置 文件 。 依 次 单 击 Maintenance 一 ExportImport 命令 ， 将 配置 文件 
进行 导入 和 导出 操作 。 对 于 所 有 Cisco CSA MC 的 配置 行为 ， 可 以 依次 单 击 
Reports 一 Audit Trail 命令 来 查看 ， 如 图 7-89 所 示 。 


ahali Management Center for Cisco Security Agents V5.2 e | eio | about 
cisco Events Systems Configuration Anal Maintenance Repo arch Holp 


T ain ahinata diafane I 
abali Management Center for Cisco Security Agents V5.2 Logout | Heb | About. 
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ETITTETTT] 


Attach rules to agent kt Management Center 5.2.0203 agent kits — 9/23/2007 Admn 
iwm 1:03:33 PM 

9380 Generated 10 rule programs for hosts, agent kits, and Generate 9/23/2007 Admin 
software updates. 2 were changed with 0 errors. Rule Rules 1:03:20 PM 
generation tock 26 seconds. 

979 Create agent kit untitled 1 [W] Agentkits — 9/23/2007  Admn 

32:58:03 PM 

978 Add rule module 'IP Stack Hardening Module - Extemal Policy. 9/23/2007 Admn 
Systems [U, V5.2 r203] to policy Sadness Network 12:57:07 PM 

977 Add rule module "Application Behavior Monitoring Module [U, policy 9/23/2007. Admin 
V5.2 1203]' to policy Sadness Network 12:57:05 PM 

976 Add rule module 'Backup and Inventory Module [W, V5.2 Policy. 9/23/2007 Admin. 
12037 to policy Sadness Network 32:55:41 PM 

975 Add rule module 'Agent UI Module [W, V5.2 1203] to policy — Policy. 9/23/2007 Admin 
Sadness Network 12:55:37 PM 

974. Modify policy Sadness Network Policy 9/23/2007 Admin 
1. The name changed from 'Untitled 1' to 'Sadness Network" 12:52:41 PM 
2. The cescription changed from " to Test policy" 
3. The following architectures were added : Windows. 


o rule changes pending 


7-89 导出、 导入 及 审计 配置 文件 
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7.4.5 配置 Cisco CSA 客户 端 
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Cisco CSA 服务 器 端 安装 与 配置 完成 后 ， 就 可 以 配置 Cisco CSA 客户 端 了 ,下面 简要 地 


介绍 一 下 其 配置 过 程 。 


@ 在 客户 端 主机 上 ,通过 浏览 器 访问 “http:W<Cisco CSA MC ip addr>/csamc52/kits”， 选 择 
Test Mode Desktop v5.2.0.203 链接 下 载 CSA 软件 并 进行 安装 。 完 成 安装 后 ， 系统 会 自 
动 重新 启动 ， 如 图 7-90 所 示 。 


aleae 
cisco 


Cisco Security Agent Kits 


Click the name link to download the kit. (Installation Instructions) 


Name Status Description Architecture 
Test Mode Desktop V5.2.0.203 Ready Cisco Security Agent V5.2.0.203 installation kit for Linux. 
desktops running in test modo 
Test Mode Server V5.2.0.203 Ready Cisco Security Agent v5.2.0.203 installation kit for Linux 
servers running in test mode 
Test Mode Server V5.2.0.203 Ready Cisco Security Agent V5.2.0,203 installation kit for Solaris 
servers running in test mode 
Management Center V5.2.0.203 Ready Cisco Security Agent V5.2.0.203 installation kit for Windows 
systems running the Management Center for Cisco 
Security Agents 
KrEsCMiode Desktop. VS.2 0.707» Ready Cisco Security Agent V5.2.0.203 installation kit for Windows 
——— à desktops running in test mode 
Test Mode server vs.2.0.203 Ready Cisco Security Agent V5.2.0.203 installation kit for Windows 
servers running in test mode 
Untitlod 1 Incomplete. Windows. 


Menegement Center for Cisco Security Agents V9,2,0,203 
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O 安装 完成 后 ， 可 以 通过 CSA 设置 安全 等 级 ， 以 及 轮 询 管理 服务 器 的 策略 ， 如 图 7-91 


所 示 。 


E 
E Status 
Mereages Securty level: ; 
User Query Responses (22) ——— 
Contact Information E . ， 
© System Security or Low Medium. High 
Untrusted Applications 
Prevent new network connections: 
T^ Network Lock. 
Enable Network Lock after the specified network inactivity time: 
b H mues 
Install/Urinstall detected: 
When installlurinstall is finished, click Resume to restore [rere | 
normal security, 
4 E 
ok | Carcel Apply | Help | 
| Security: Medium 


图 7-91 配置 Cisco CSA 客户 端 
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7.4.6 监控 Cisco CSA MC 


Cisco CSA MC 提供 了 大 量 的 日 志 服务 用 于 监控 网 络 的 安全 状况 , 同时 还 有 自 带 的 CSA 
分 析 器 为 某 个 应 用 环境 开发 严格 的 安全 策略 工具 。 分 析 器 主要 是 让 Cisco CSA 软件 通过 分 
析 终 端 ， 确 定 正 在 使 用 的 应 用 和 行为 的 状态 。 分 析 器 还 可 以 用 于 在 分 析 终 端 之 后 自动 生成 
策略 。 分 析 器 主要 具有 两 个 作用 ， 一 是 防止 应 用 受到 系统 影响 ， 二 是 防止 系统 受到 应 用 
影响 。 
分 析 器 是 一 个 功能 强大 的 工具 ， 可 以 根据 当前 的 应 用 和 行为 了 解 终端 环境 。 利 用 这 些 
信息 ， 可 以 创建 满足 某 个 应 用 环境 的 严格 要 求 的 策略 。 定 制 策略 的 部 署 流程 包括 在 默认 策 
略 部 署 中 执行 的 所 有 任务 ， 以 及 下 面 列 出 的 额外 任务 。 在 符合 下 列 所 有 条 件 时 ， 可 以 利用 
Cisco CSA 分 析 器 创建 定制 策略 。 
今 “ 应 用 环境 的 安全 要 求 非常 严格 。 
今 “ 主 机 专门 用 于 应 用 环境 (它们 不 与 其 他 任何 应 用 共享 )。 
今 “ 已 有 针对 实际 应 用 服务 器 的 严格 变更 控制 步骤 ， 所 有 变更 都 需要 得 到 批准 、 测 试 、 
部 署 ， 以 及 与 信息 安全 和 IT 管理 人 员 的 密切 协调 。 

今 “ 愿 意 将 足够 的 应 用 专家 和 测试 资源 用 于 支持 思科 CSA 的 部 署 ， 这 些 应 用 专家 和 测 
试 资源 必须 是 整个 分 析 和 策略 调节 流程 的 重要 组 成 部 分 。 

今 “ 愿 意 为 策略 定制 投入 足够 的 预算 (定制 策略 的 开发 需要 足够 的 咨询 资源 和 至 少 三 个 
月 的 时 间 )。 

使 用 Cisco CSA 分 析 器 的 第 一 步 是 为 应 用 环境 的 所 有 重要 组 件 (例如 Web 服务 器 、Web 
应 用 服务 器 、 应 用 源 代码 、 数 据 库 、 调 度 系 统 、 操 作 系 统 等 ) 找 出 相关 的 专家 和 质量 保障 资 
源 ， 必 须 由 相关 专家 (SME) 在 策略 分 析 、 开 发 和 调节 任务 中 提供 协助 。 

在 分 析 完 成 之 后 ， 可 以 选择 自动 创建 一 个 定制 策略 。 所 创建 的 策略 可 以 被 导入 到 Cisco 
CSAMC 中 。 一旦 被 导入 ， 该 分 析 器 策略 将 会 被 添加 到 策略 列表 中 ， 并 将 “Job” 一 词 附加 
到 原始 分 析 任 务 名 称 中 。 相 关 专 家 随后 应 当 分 析 该 定制 策略 ， 并 对 规则 进行 调整 ， 他 们 必 
须 具备 对 应 用 环境 的 广泛 了 解 ， 以 确保 定制 的 规则 具有 “是 够 的 通用 性 ”， 以 支持 应 用 此 前 
的 执行 和 在 不 同情 况 下 的 后 续 执 行 。 在 分 析 器 完成 了 应 用 分 析 任务 之 后 ， 这 些 规则 将 会 被 
生成 和 分 发 到 指定 的 主机 。 根 据 所 选择 的 参数 ， 这 些 指定 主机 将 在 连接 到 思科 CSAMC 和 
收 到 新 规则 之 后 ， 开 始 执行 分 析 任务 。 

下 面 的 操作 过 程 , 是 利用 Cisco CSA MC 获取 大 量 网 络 设备 和 服务 器 的 日 志 来 监控 网 络 
的 安全 状况 , 并 实现 与 CS-MARS(Momitoring Analysis Response System, 监控 分 析 响 应 系统 ) 
和 IPS( 入 侵 防 御 系 统 ) 联 动 。 对 于 CS-MARS 和 IPS 的 安装 与 配置 方法 请 参见 后 序章 节 的 
介绍 。 

o 依次 单 击 Analysis —Application Behavior Invertigation Behavior Analyses [Windows]? 

令 ， 进 入 行为 分 析 器 ， 如 图 7-92 所 示 。 

O 创建 一 个 新 的 分 析 进 程 。 对 于 需要 分 析 的 行为 可 以 单 击 New 按钮 添加 ， 并 且 选 择 一 个 
主机 进行 分 析 ， 同 时 还 可 以 定义 分 析 时 间 ， 如 图 7-93 所 示 。 
Q 单 击 New 按钮 后 ， 可 以 定义 一 个 应 用 的 行为 分 析 ， 如 图 7-94 所 示 。 定义 完成 后 ， 单 击 
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Save 按钮 保存 。 


sh Management Cator for i Logout 


cisco Events Systems Configuration Anal nance Reports Search Help 


Group Settings 
Product Associations 
Unknown Applications. 
Data Management 


7-92 进入 行为 分 析 器 


Management Center tor Cisco Security Agents V5.2. 


Events Systems Conflguratlon Analysis Maintenance Reports Search Help 


Feree menan — 


Target operating system. 
Wdows 

Behavior analysis status 
Not yet deployed 


i 


perform an analysis of the selected. 
application classes: 


fAcpicaton Cenavor - spo ston to be ansiyzeo [v5 21202). 
Roaming- Browsers al owed Temporary Network Access [V 2 1208] 
E 


For the selected host: [rones a] 


You can ur paler encom hell or Tw 
Lame apri onnar am iha ied Pent far te 


ma rame of ha Fon avo, dnas H vou do rot F plsable policy rue enforcement 
Select re c herbe ire ana re aom pince 
NE Me centes cH the erfarted poly 


Start behavior analysis at tme qm; 
n behavior analysis at tne: r 


Stop analysis when either of the folowng occur: 


F Log fle size evceeede [oe 
I application is invoked [7 omer 


7-903 ”创建 新 的 分 析 进 程 


game. ] 
(peruracaT 


Description 
[eere 

ET 

nersting system — — 
Syntax: Windows 

Target: [mw 本 
F Display only in show Al mode 


Add process ta application dass 
G Prazassas craatod from the flawing enecutablos 


[abs Feroba dera Fes DJ AUT 
[E^iche Arzt Reader vs 2， 


[PApsche carfauraton and daia ee [VE2 2031 
[apache exeeitabia fies VE 2 205] 
[EApcic ation Bahavo - E ec ttablos to be analyzed [V62 203] 
Precontigurad rie sec variables (doubie-aict to view) 
C when dynamically defined by poicy rulas 
Remove process from application cass 
Dater seconds 
This application class includes 
G Orly thi process 
C This process and all its descendents 
C Only descendants of this process 


eee oeei 


Acthcston Class executabes [je Iterals also accepted) 
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单 击 Generate Rules 按钮 ， 可 以 部 署 新 的 规则 。 

CSA MC 还 可 以 将 报警 日 志 发 送 到 CS-MARS (Mornitoring Analysis Response System, 
监控 分 析 响应 系统 )， 用 于 全 局 的 安全 监控 和 响应 。 在 MARS 较 新 的 版 本 中 可 以 自动 发 
现 CSA MC 发 送 过 来 的 AGENTS 告警 主机 , 并 且 把 这 些 CSA MC 管理 的 主机 放置 在 网 
络 拓扑 图 上 面 . E CS-MARS 上 将 CSA MC 配置 为 一 个 事件 汇报 设备 , 并 且 在 CSA MC 
上 依次 单 击 Events 一 Alerts 命令 并 单 击 New 按钮 即 可 创建 一 个 到 MARS 的 SNMP 
TRAP， 如 图 7-95 所 示 。 


wh 
cisco 


[Alert wethod 
LEN Sem 
prep 
Bo 
S 
r1 r3 


bogged in ex: Admin 
7-95 发送 日 志 到 CS-MARS 


Q CSA MC 还 可 以 与 Cisco 入 侵 防 御 系 统 IPS 配合 进行 访问 控制 ，CSA MC 可 以 发 送 两 
种 类 型 的 信息 给 IPS: 主机 的 Posture 事 件 和 主机 下 地 址 监控 列表 .IPS 可 以 根据 CSA MC 
发 送 过 来 的 主机 重要 信息 ， 进 行 联动 提高 防御 的 准确 性 。 例如， 在 图 7-96 中 ， 当 攻击 
者 扫描 一 台 CSA 主机 端口 时 ，IPS 默认 行为 是 报警 ， 但 是 当 CSA 将 扫描 端口 信息 发 送 
至 CSAMC 后 ，CSA MC 通过 发 送 消息 给 IPS， 使 IPS 确认 为 攻击 行为 并 将 攻击 阻止 。 


A Oso CAMC 
Watch Lis 7 $5 


Alarm 


图 7-96 CSAMC 5 IPS 联动 
QQ 在 IPS 中 ,添加 CSAMC 为 外 部 产品 接口 (External Product Interface), 4n El 7-97 所 示 。 
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7-97 ”添加 CSA MC 为 外 部 产品 接口 
Q 在 IPs 中 ,添加 CSAMC 为 信任 主机 (Trusted Host)， 如 图 7-98 所 示 。 


EQ Sensor Setup 4 -Trusted Hosts 
[I-füNetwork. 
|-füallowed Hosts 
B Q SSH 

EQ Certificates 


Specny ali nost certncates rrusted by tne sensor. 


IP Address MD5 SHAI Add 


a Ada Trusted Host e 


È Q intortaco Configurato l| | saaess [XL 
Lfüsumman. 

-Pinteraces 

-interace Pairs 

IRAN Pairs. 

Eos z EE 

Lürram Flow Noti 

E Q Analysis Engine 

上 vinualsensor 

Lfüciobat vananles 

È Q Signature Definition 

| signature Variable. 

I füsionature Configu 

I fücustom signature 

[和 Miscelaneous 

EQ Event Action Rules 


i uus Variables |v Reset 


7-98 添加 CSA MC 为 信任 主机 


(optional 


四 点 评 与 拓展 : 通过 如 上 的 配置 ,我们 完成 了 基于 用 户 行为 检测 的 防御 方案 (CSA)。 
通过 对 CSA 和 CSA MC 的 配置 ,并 且 与 Cisco 安 全 监 挖 和 响应 系统 (CS-MARS) 以 及 Cisco IPS 


入 侵 防 御 系 统 结合 ， 为 服务 器 创造 了 一 个 相对 安全 的 主机 环境 通过 CSA MC 集中 管理 也 
减轻 了 管理 员 的 负担 。 
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本 章 介 绍 了 基于 802.1x 的 网 络 接 入 控制 ， 并 实现 了 基于 Active Directory 的 单一 身份 登 
K: 然后 介绍 了 WSUS 自动 升级 服务 器 的 配置 方式 ， 同 时 通过 Cisco NAC 将 两 者 和 防 病毒 
软件 等 结合 起 来 ， 为 网 络 提供 了 一 个 相对 安全 的 准 入 规范 ， 减 少 了 带 毒 主机 对 网 络 的 影响 。 
本 章 最 后 还 简要 地 介绍 了 基于 行为 的 CSA， 并 且 可 以 通过 对 行为 的 统计 和 汇总 ， 有 效 地 防 
止 异常 程序 的 入 侵 。 

下 一 章 我 们 将 介绍 传统 的 网 络 安全 设备 一 一 防火 墙 。 
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“防火 墙 ” 是 一 种 形象 的 说 法 ， 它 是 由 计算 机 硬件 和 软件 相 组 合 ， 在 外 部 网 与 内 部 网 
之 间 建 立 起 的 一 个 安全 网 关 (Security Gateway), 用 于 保护 内 部 网 免 受 非法 用 户 的 侵入 。 简单 
地 说 ， 它 其 实 就 是 一 个 把 互联 网 与 内 部 网 (通常 是 局 域 网 或 城 域 网 ) 隔 开 的 屏障 。 

防火 墙 如 果 从 实现 方式 上 划分 ， 可 分 为 硬件 防火 墙 和 软件 防火 墙 两 类 。 通 常 意义 上 的 
防火 墙 是 指 硬件 防火 墙 ， 它 通过 硬件 和 软件 的 结合 来 达到 隔离 内 、 外 部 网 络 的 目的 ， 价 格 
较 贵 ， 但 效果 较 好 ， 一 般 小 型 企业 和 个 人 很 难 实现 ;软件 防火 墙 是 通过 纯 软 件 的 方式 来 达 
到 防护 的 目的 ， 价 格 便宜 ， 但 这 类 防火 墙 只 能 通过 一 定 的 规则 来 达到 限制 一 些 非法 用 户 访 
问 内 部 网 的 目的 。 现 在 的 软件 防火 墙 主要 有 天 网 的 个 人 版 及 企业 版 防火 墙 、Norton 的 个 人 
及 企业 版 防火 墙 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 
防火 墙 的 分 类 及 工作 原理 
信 Cisco PIX/ASA 防火 墙 
信 ”微软 ISA 防火 墙 
信 Linux 防火 墙 


$ 


8.1 防火 墙 概述 


8.1.4. 防火 墙 的 硬件 平台 


通常 ， 按 照 防火 墙 硬件 平台 可 以 将 防火 墙 分 为 x86 架构 防火 墙 、ASIC 架构 防火 墙 和 
NP 架构 防火 墙 三 类 。 


1. x86 架构 防火 墙 


x86 架构 防火 墙 采用 通用 CPU 和 PCI 总 线 接口 ， 具 有 很 高 的 灵活 性 和 可 扩展 性 ， 过 去 
一 直 是 防火 墙 开发 的 主要 平台 。 其 产品 功能 主要 由 软件 实现 ， 可 以 根据 用 户 的 实际 需要 而 
相应 地 调整 ， 增 加 或 减少 功能 模块 ， 产 品 比较 灵活 ， 功 能 十 分 丰富 。 最 初 的 千 兆 防火 墙 是 
基于 x86 架构 。 

作为 通用 的 计算 平台 ，x86 架构 的 结构 层次 较 多 ,不 易 优化 ， 且 往往 会 受到 PCI 总 线 的 
带宽 限制 。 虽然 PCI 总 线 接口 理论 上 能 达到 接近 2 Gbps 的 吞吐 量 , 但 是 通用 CPU 的 处 理 能 
力 有 限 ， 尽 管 防火 墙 软件 部 分 可 以 尽 可 能 地 优化 ， 很 难 达 到 千 光 速率。 同时 很 多 x86 架构 
的 防火 墙 是 基于 定制 的 通用 操作 系统 ， 安 全 性 很 大 程度 上 取决 于 通用 操作 系统 自身 的 安全 
性 ， 可 能 会 存在 安全 漏洞 。 
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基于 x86 架构 防火 墙 的 典型 代表 是 Cisco 系统 防火 墙 , 图 8-1 所 示 为 Cisco ASA 系列 防 
pe pam 


图 8-1 Cisco ASA 防火 墙 


2. ASIC 架构 防火 墙 

相 比 之 下 , ASIC 架构 防火 墙 通过 专门 设计 的 ASIC 芯片 进行 硬件 加 速 处 理 。ASIC 通过 
把 指令 或 计算 逻辑 固化 到 芯片 中 ， 获 得 了 很 高 的 处 理 能 力 ， 因 而 明显 提升 了 防火 墙 的 性 能 。 
新 一 代 的 高 可 编程 ASIC 采用 了 更 灵活 的 设计 ， 能 够 通过 软件 改变 应 用 逻辑 ， 具 有 更 广泛 的 
适应 能 力 。 但 是 ，ASIC 的 缺点 也 同样 明显 ， 其 灵活 性 和 扩展 性 不 够 ， 开 发 费用 高 ， 开 发 周 
期 太 长 。 

虽然 研发 成 本 较 高 ， 灵 活性 受 限 制 ， 无 法 支持 太 多 的 功能 ， 但 其 具有 先天 的 优势 ， 非 
常 适合 应 用 于 模式 简单 、 对 吞吐 量 和 时 延 指 标 要 求 较 高 的 电信 级 大 流量 的 处 理 。 

ASIC 架构 防火 墙 以 Juniper 公司 的 NetScreen 产品 为 代表 ， 如 图 8-2 所 示 。 


8-2 NetScreen 防火 墙 


3. NP 架构 防火 墙 


NP 架构 可 以 说 是 介 于 x86 架构 与 ASIC 架构 之 间 的 技术 , NP 是 专门 为 网 络 设备 处 理 网 
络 流量 而 设计 的 处 理 器 ， 其 体系 结构 和 指令 集 对 于 防火 墙 常用 的 包 过 滤 、 转 发 等 算法 和 操 
作 都 进行 了 专门 的 优化 ， 可 以 高 效 地 完成 TCP/IP 栈 的 常用 操作 ， 并 对 网 络 流量 进行 快速 的 
并 发 处 理 。 硬 件 结构 设计 也 大 多 采用 高 速 的 接口 技术 和 总 线 规 范 ， 具 有 较 高 的 IO 能 力 。 它 
可 以 构建 一 种 硬件 加 速 的 完全 可 编程 的 架构 ， 这 种 架构 的 软 硬 件 都 易于 升级 ， 软 件 可 以 支 
持 新 的 标准 和 协议 ， 硬 件 设 计 支 持 更 高 的 网 络 速度 ， 从 而 使 产品 的 生命 周期 更 长 。 由 于 防 
火 墙 处 理 的 就 是 网 络 数据 包 , 所 以 基于 NP 架构 的 防火 墙 与 x86 架构 的 防火 墙 相 比 ， 性 能 得 
到 了 很 大 的 提高 。 

NP 架构 通过 专门 的 指令 集 和 配套 的 软件 开发 系统 ， 提 供 强大 的 编程 能 力 ， 因 而 便于 开 
发 应 用 ， 支 持 可 扩展 的 服务 ， 而 且 研制 周期 短 、 成 本 较 低 。 但 是 ， 与 x86 架构 相 比 ， 由 于 
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应 用 开发 、 功 能 扩展 受到 NP 架构 的 配套 软件 的 限制 ， 基 于 NP 技术 的 防火 墙 的 灵活 性 要 差 


一 些 。 由 于 依赖 软件 环境 ， 所 以 在 性 能 方面 NP 不 如 ASIC. NP 架构 开发 的 难度 和 灵活 性 都 
介 于 ASIC 架构 和 x86 构架 之 间 ， 应 该 说 ，NP 是 x86 架构 和 ASIC 架构 一 个 折 中 。 

NP 架构 主要 出 现在 国内 很 多 厂商 的 防火 墙 设备 上 , 例如 东软 NetEye 防火 墙 ， 如 图 8-3 
所 示 。 
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E 


8-3 东软 NP 防火 墙 


从 上 面 的 分 析 可 以 看 出 ，x86 架构 、NP 架构 和 ASIC 架构 各 有 优 缺 点 。x86 架构 灵活 性 
最 高 ， 新 功能 、 新 模块 扩展 容易 ， 但 性 能 肯定 满足 不 了 千 兆 需要 。ASIC 架构 性 能 最 高 ， 千 
兆 、 万 兆 吞 吐 速率 均 可 实现 ， 但 灵活 性 最 低 ， 定 型 后 再 扩展 十 分 困难 。NP 架构 则 介 于 两 者 
之 间 ， 性 能 可 满足 千 兆 需要， 同时 也 具有 一 定 的 灵活 性 。 


8.1.2 ”防火 墙 的 体系 结构 


根据 处 理 数据 的 方式 ， 防 火 墙 通常 可 分 为 主机 防火 墙 、 包 过 滤 防 火 墙 、 电 路 层 防 火 墙 、 
应 用 代理 防火 墙 、 状 态 检 测 防火 墙 等 几 类 。 


1. 主机 防火 墙 


主机 防火 墙 通常 是 为 保护 单一 主机 而 建立 的 防火 墙 ， 可 以 看 做 主机 的 外 壳 。 通 常 这 种 
防火 墙 通过 使 用 者 定义 的 允许 出 站 、 入 站 的 流量 规则 进行 过 滤 ， 并 且 很 多 公司 的 产品 默认 
支持 不 同等 级 的 防范 策略 。 即 便 是 在 Linux 中 ， 安 装 时 同样 可 以 选择 基于 Iptables 的 防火 墙 
产品 。 但 是 对 于 一 个 大 型 网 络 而 言 ， 虽 然 每 台 主 机 都 拥有 防火 墙 ， 但 却 无 法 及 时 地 对 这 些 
防火 墙 的 策略 进行 同步 ， 因 此 安全 漏洞 极 大 。 


2. 包 过 滤 防 火 墙 


通常 包 过 滤 防 火 墙 基 于 一 些 网 络 设备 (如 路 由 器 、 交 换 机 等 )， 通过 一 系列 访问 控制 列表 
(Access List，ACL) 来 控制 数据 包 的 转发 策略 。 通 常 这 些 策略 工作 在 OSI 模型 的 网 络 层 ， 如 
图 8-4 所 示 。 

包 过 滤 防 火 墙 的 优点 是 : 不 用 改动 应 用 程序 ， 一 个 过 滤 路 由 器 能 协助 保护 整个 网 络 ; 
数据 包 过 滤 对 用 户 透 明 ; 过 滤 路 由 器 速度 快 、 效 率 高 。 但 缺点 也 很 明显 ， 它 不 能 彻底 防止 
地 址 欺骗 一些 应 用 协议 不 适合 于 数据 包 过 滤 ; 正常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安 
全 策略 ;安全 性 较 差 ， 数据 包工 具 存 在 很 多 局 限 性 。 


bp 
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在 某 些 情况 下 包 过 滤 防 火 墙 可 以 用 于 攻击 的 应 急 处 理 ， 以 及 某 些 应 用 的 过 滤 。 在 后 面 
的 例子 中 将 会 详细 介绍 。 


应 用 层 


ETT 
图 8-4 包 过 滤 防 火 墙 


3. 电路 层 防火 墙 

电路 层 防火 墙 通常 工作 在 OSI 模型 的 第 五 层 (会 话 层 图 8-5)， 它 通过 监控 会 话 建立 得 是 
和 否 合 理 来 进行 相应 的 过 滤 。 这 种 模式 ， 仅 在 内 部 链接 和 外 部 链接 之 问 来 回复 制 字 节 ， 因 此 
所 有 的 会 话 均 起 源 于 这 个 防火 墙 对 于 外 部 网 络 而 言 ， 起 到 了 隐藏 内 部 网 络 细节 的 作用 。 


入 站 流量 
人 允许 的 出 站 流量 
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4. 应 用 代理 防火 墙 


通常 应 用 代理 防火 墙 工作 在 OSI 模型 的 应 用 层 (图 8-6)， 和 我 们 常 说 的 代理 服务 器 原理 
相同 ， 并 且 防 火 墙 需要 为 每 一 种 服务 器 创建 一 个 进程 ， 让 外 部 网 络 看 上 去 是 在 运行 一 个 终 
端 系统 ， 并 通过 一 系列 进程 映射 ， 将 对 外 会 话 和 对 内 会 话 联系 起 来 。 它 还 可 用 来 保持 一 个 
所 有 应 用 程序 使 用 的 记录 。 记 录 和 控制 所 有 进出 流量 的 能 力 是 应 用 层 网 关 的 主要 优点 之 一 。 


入 站 流量 


TFT 
图 8-6 ”应 用 代理 防火 墙 
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5. 状态 检测 防火 墙 

状态 检测 防火 墙 (图 8-7) 通 过 对 OSI 模型 项 部 4 层 的 策略 分 析 进 行 过 滤 ， 相 当 于 以 上 三 
种 防火 墙 的 结合 体 。 状 态 检测 防火 墙 虽 然 集成 了 前 三 者 的 特点 ， 但 它 实现 应 用 层 防 火 墙 的 
模式 与 前 面 三 种 不 同 。 状 态 检测 防火 墙 并 不 破坏 客户 机 /服务 器 模型 来 分 析 应 用 层 数据 ， 它 
允许 受信 任 的 客户 机 和 不 受信 任 的 主机 进行 直接 通信 。 从 理论 上 讲 ， 状 态 检测 防火 墙 拥有 
更 高 的 安全 性 。 


充 许 的 出 站 流 基 
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8.1.3 防火墙 的 部 署 方 式 


通常 防火 墙 的 部 署 方式 有 两 种 ， 一 种 是 区 域 分 割 的 三 角 方 式 ， 另 一 种 是 防火 墙 层 登 
方式 。 
1. 区 域 分 割 的 三 角 方 式 


区 域 分 割 的 三 角 方 式 是 指 将 网 络 分 为 内 部 网 络 (军事 化 区 域 )、 外 部 网 络 和 DMZ 区 域 。 
例如 ， 将 Web 服务 器 、 邮 件 服务 器 、DNS 服务 器 、 前 台 查 询 计算 机 等 放置 在 DMZ 区 域 ， 
而 内 部 的 文件 服务 器 、 数 据 库 服务 器 等 关键 应 用 都 放置 在 内 部 网 络 中 ， 从 而 使 它们 受到 良 
好 的 保护 ， 图 8-8 所 示 为 以 区 域 分 割 的 三 角 方 式 创建 DMZ。 


文件 服务 器 


打印 服务 器 


邮件 服务 器 


web 服务器 g- DNS 服务 器 
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t3 post) lH ZAREE, Bl Joe EZ SAGE PS GUI JG. 并 将 DMZ 区 域 放 置 在 
两 台 防 火 墙 之 间 ， 如 图 8-9 所 示 。 其 中 ， 连 接 外 部 网 络 和 DMZ 区 域 的 防火 墙 仅仅 做 一 些 包 
过 滤 ， 通 常 由 边界 路 由 器 的 访问 控制 列表 来 实现 ， 而 连接 内 部 网 络 和 DMZ 区 域 的 防火 墙 是 
一 台 专 用 防火 墙 ， 实 施 详细 的 访问 控制 策略 。 


Ps 
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DNS 服务 器 打印 服务 器 
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应 用 实例 导航 : 利用 ACL 为 Sadness 公司 部 署 简单 的 防火 墙 


※ 场 景 呈现 

Sadness 公司 遭受 到 来 自 外 界 的 大 量 碎 片 GEragments) 攻 击 ， 同 时 还 伴随 着 大 量 的 ICMP 
报 文 和 TCP SYN 攻击 。 同 时 , 为 了 限制 员工 使 用 Internet， 公 司 主管 希望 限制 员工 仅 能 在 午 
饭 休 息 时 间或 者 前 后 几 个 小 时 内 使 用 外 部 网 络 ， 其 他 时 间 只 能 使 用 内 部 网 络 。 图 8-10 所 示 
为 Sadness 公司 的 网 络 边界 拓扑 。 


内 部 办 公 网 络 


打印 服务 器 


图 8-10 Sadness 公司 的 网 络 边 界 拓扑 


虽然 提出 了 许多 要 求 ， 但 公司 却 没有 足够 的 经 费 进 行 网 络 升级 和 改造 ， 因 此 公司 领导 
希望 网 络 管理 员 Tam 能 够 通过 廉价 的 方式 满足 这 些 要 求 。 Tam 通过 使 用 边界 的 Cisco 路 由 器 
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内 置 的 一 些 防 火 墙 功能 了 满足 公司 的 需求 。 
(1) 基于 访问 控制 列表 过 滤 的 配置 方法 ; 


(2) 基于 上 下 文 的 访问 控制 的 配置 方法 ; 
(3) 基于 网 络 应 用 识别 的 配置 方法 。 


随 着 网 络 的 逐渐 发 展 , Cisco 在 运行 IOS 软件 的 路 由 器 上 也 支持 更 多 的 安全 特性 , Cisco 
Ios 防火 墙 特性 集 为 每 一 个 网 络 周边 集成 了 稳健 的 防火 墙 功能 和 入 侵 检 测 ， 丰 富 了 Cisco 
IOS 的 安全 功能 。 如 果 与 Cisco IOS IPSec 软件 和 其 他 基于 Cisco IOS 软件 的 技术 (例如 L2TP 
隧道 和 服务 质量 (QoS)) 相 结合 ，Cisco IOS 防火 墙 特性 集 可 以 提供 一 个 全 面 、 集 成 的 虚拟 专 
用 网 络 (VPN) 解 决 方案 。 Cisco IOS 软件 可 用 在 广泛 的 Cisco 路 由 器 平台 上 ,允许 客户 根据 带 
宽 、LAN/WAN 密度 和 多 种 服务 需求 选择 路 由 器 平台 , 同时 从 先进 的 安全 性 受益 。Cisco IOS 
防火 墙 具 有 如 下 特征 。 
基于 上 下 文 的 访问 控制 (CBAC) 能 提供 基于 应 用 程序 的 安全 筛选 ,并 支持 最 新 协议 。 
Java 过 滤 功 能 防止 下 载 动机 不 纯 的 小 应 用 程序 。 
可 以 在 现 有 功能 基础 上 添加 拒绝 服务 探测 和 预防 功能 ， 从 而 增强 网 络 的 保护 能 力 。 
可 以 在 探测 到 可 疑 行为 后 ， 向 中 央 管 理 控制 台 实时 发 送 警 报 和 系统 记录 错误 信息 。 
TCP/UDP 事务 处 理 记 录 可 以 按 源 /目的 地 址 和 端口 对 来 跟踪 用 户 访问 。 


82.1 基于 访问 控制 列表 过 滤 


YY 


访问 控制 列表 (Access Control List，ACL) 是 路 由 器 接口 的 指令 列表 ， 用 来 控制 端口 进 
出 的 数据 包 。 访 问 控制 列表 就 是 一 系列 允许 和 拒绝 条 件 的 集合 ， 通 过 访问 控制 列表 可 以 过 
滤 发 进 和 发 出 的 信息 包 的 请 求 ， 实 现 对 路 由 器 和 网 络 的 安全 控制 。 路 由 器 一 个 一 个 地 检测 
包 与 访问 控制 列表 的 条 件 ， 在 满足 第 一 个 匹配 条 件 后 ， 就 可 以 决定 路 由 器 接收 或 拒 收 该 包 。 

ACL 适用 于 所 有 的 包 路 由 协议 ， 如 IP. IPX, AppleTalk ^&. ACL 的 定义 也 是 基于 每 一 
种 协议 的 。 如 果 路 由 器 接口 配置 成 为 支持 三 种 协议 IP、AppleTalk 以 及 IPX)， 那 么 ， 用 户 必 
须 定义 三 种 ACL 来 分 别 控制 遵循 这 三 种 协议 的 数据 包 。 

ACL 可 以 限制 网 络 流量 ， 提 高 网 络 性 能 ， 例 如 可 以 根据 数据 包 的 协议 指定 数据 包 的 优 
先 级 ;提供 对 通信 流量 的 控制 手段 ， 例 如 ACL 可 以 限定 或 简化 路 由 更 新 信息 的 长 度 ， 从 而 
限制 通过 路 由 器 某 一 网 段 的 通信 流量 ; 提供 网 络 安全 访问 的 基本 手段 , 例如 只 人 允许 主 主机 A 
访问 人 力 资源 网 络 ， 而 拒绝 主机 B 访问 ; 可 以 在 路 由 器 端口 处 决定 哪 种 类 型 的 通信 流量 被 
转发 或 被 阻塞 , 例如 用 户 可 以 允许 E-mail 通信 流量 被 路 由 ,而 拒绝 所 有 的 Telnet 通信 流量 。 

目前 有 两 种 主要 的 ACL: 标准 ACL 和 扩展 ACL。 两 者 主要 的 区 别 是 ， 标 准 ACL 只 检 
查 数据 包 的 源 地 址 ; 扩展 ACL 既 检 查 数据 包 的 源 地 址 ， 也 检查 数据 包 的 目的 地 址 ， 同 时 还 
可 以 检查 数据 包 的 特定 协议 类 型 、 端 口号 等 。 

由 于 目前 网 络 主要 是 使 用 TCP/IP, 本 书 只 介绍 标准 下 访问 控制 列表 (编号 范围 是 1~99) 
和 扩展 卫 访问 控制 列表 (编号 范围 是 100 一 199)， 而 对 IPX/SPX 数据 包 进 行 过 滤 的 标准 IPX 
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访问 控制 列表 (编号 范围 是 800 一 899) 和 扩展 IPX 访问 控制 列表 (编号 范围 是 900 一 999) 不 作 
介绍 。 

除了 用 编号 来 代表 一 个 ACL 外 , 在 Cisco IOS11.2 以 后 的 版 本 中 , 还 可 以 以 列表 名 代替 
列表 编号 来 定义 访问 控制 列表 ， 这 种 访问 控制 列表 称 为 命名 访问 控制 列表 。 命 名 访问 控制 
列表 同样 包括 标准 和 扩展 两 种 列表 ， 定 义 过 滤 的 语句 与 编号 方式 中 相似 。 

ACL 通过 过 滤 数 据 包 并 且 丢 弃 不 希望 抵达 目的 地 的 数据 包 来 控制 通信 流量 。 然 而 ， 网 
络 能 否 有 效 地 减少 不 必要 的 通信 流量 ， 还 要 取决 于 网 络 管理 员 把 ACL 放置 在 哪个 地 方 。 一 
般 来 说 ， 标 准 ACL 要 尽量 靠近 目的 端 ， 而 扩展 ACL 要 尽量 靠近 源 端 。 

ACL 的 配置 分 为 两 个 步骤 。 

第 一 步 是 在 全 局 配置 模式 下 ， 使 用 access-list 命令 创建 ACL. 


Router (config)# access-list  access-list-number {permit l deny } 
{test-conditions} 
// 其 中 ，access-list-number 为 ACL 的 表 号 。 


第 二 步 是 在 接口 配置 模式 下 ， 使 用 access-group 命令 定义 ACL 应 用 到 某 一 接口 上 。 


Router (config-if)# (protocol) access-group access-list-number (in | out } 


// 其 中 ，in 和 out 参 数 可 以 控制 接口 中 不 同方 向 的 数据 包 。 如 果 不 配置 该 参数 ， 默 认为 out 

ACL 在 一 个 接口 可 以 进行 双向 控制 ， 即 配置 两 条 命令 ,一 条 为 in， 另 一 条 为 out， 两 条 
命令 执行 的 ACL 表 号 可 以 相同 ， 也 可 以 不 同 。 但 是 ， 在 一 个 接口 的 一 个 方向 上 ， 只 能 有 一 
个 ACL 控制 。 

的 点评 与 拓展 : 在 进行 ACL 配置 时 ， 一 定 要 先 在 全 局 配置 模式 下 配置 ACL 表 ， 然 
后 在 具体 接口 上 进行 配置 ; 否则 会 造成 网 络 的 安全 隐患 。 


1. 利用 ACL 过 滤 特 定 的 报 文 

针对 应 用 实例 导航 中 所 述 的 报 文 碎片 攻击 、ICMP 攻击 和 TCP SYN 攻击 ， 可 以 通过 配 
置 ACL 来 过 滤 这 些 报 文 ， 以 减少 这 些 攻 击 。 
O 为 了 防范 报 文 碎片 攻击 ， 可 以 过 滤 所 有 不 完整 的 划 报 文 。 方 法 如 下 。 

Router (Config)# access-list 139 deny ip any any fragments 
Q 为 了 防范 ICMP 攻击 ， 可 以 过 滤 所 有 的 ICMP 报 文 。 方 法 如 下 。 

Router (config) #access-list 139 deny icmp any any // 过 滤 所 有 ICMP 报 文 

若 仅 需要 过 滤 ping 包 ， 而 允许 其 他 ICMP 报 文 ， 可 以 按 下 述 方法 配置 。 


Router (config)#access-list 139 deny icmp any any echo 
Router(config)£access-list 139 deny icmp any any echo-reply 


© 为 了 防范 TCP SYN 攻击 ， 可 以 过 滤 所 有 的 半 和 连接。 方法 如 下 ( 注 : 为 了 展示 命名 ACL 的 定 
义 方 法 ， 这 里 定义 了 一 个 命名 ACL). 


Router (config)# ip access-list extended tcp-syn-flood 
Router(config-ext-nacl)£ permit tcp any 10.0.1.0 0.0.255.255 established 


Q 完成 ACL 定义 后 ， 需 要 将 ACL 应 用 到 相应 的 接口 。 
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Router (config)# interface ethernetl 
Router (Config-if)# ip access-group tcp-syn-flood in // 应 用 命名 ACL 
Router (config-if)# ip access-group 139 out // 应 用 编号 ACL 


2. 利用 ACL 应 对 网 络 攻 击 


Sadness 公司 在 某 日 发 现 其 广域网 带宽 全 部 耗 尽 ， 各 种 服务 运行 缓慢 。 后 来 接 到 ISP 的 
责难 电话 ， 询 问 为 什么 要 攻击 ISP 接 入 路 由 器 。Sadness 公司 对 此 进行 了 查找 ， 发 现 大 量 未 
知 IP 地 址 通过 Sadness 公司 网 络 对 外 发 送 大 量 报 文 。 事 后 发 现 是 黑客 攻破 了 一 台 Sadness 
内 部 网 络 的 主机 ， 并 在 该 主机 使 用 伪造 的 源 TP. 地 址 对 运营 商 的 路 由 器 进行 攻击 。Jam 在 边 
界 路 由 器 上 做 了 如 下 配置 。 

O 将 各 种 攻击 常用 的 地 址 段 进行 了 屏蔽 ， 只 让 合法 的 卫 地 址 对 外 发 送 流量 。 


Router (Config)# ip access-list extended egress-acl 


Router(config-ext-nacl)£ deny ip any 1.0.0.0 0.255.255.255 

Router(config-ext-nacl)£ deny ip any 2.0.0.0 0.255.255.255 

Router(config-ext-nacl)£ deny ip any 5.0.0.0 0.255.255.255 

Router(config-ext-nacl)£ deny ip any 7.0.0.0 0.255.255.255 

Router(config-ext-nacl)£ deny ip any 23.0.0.0 0.255.255.255 
Router(config-ext-nacl)£ deny ip any 27.0 


0.0 

10:00 0:255.255.255 

Router(config-ext-nacl)£ deny ip any 172.16.0.0 0.15.255.255 
6 


Router(config-ext-nacl)£ deny ip any 192.168.0.0 0.0.255.255 
Router(config-ext-nacl)£ deny ip any 224.0.0.0 15.255.255.255 
Router(config-ext-nacl)£ deny ip any 240.0.0.0 15.255.255.255 
Router(config-ext-nacl)£ deny ip any 0.0.0.0 0.255.255.255 
Router(config-ext-nacl)£ deny ip any 169.254.0.0 0.0.255.255 
Router(config-ext-nacl)£ deny ip any 192.0.2.0 0.0.0.255 


Router(config-ext-nacl)£ permit ip 46.1.0.0 0.0.255.255 any 
Router(config-ext-nacl)£ deny ip any any 
Router(config-ext-nacl)f£ exit 

Router (config)# interface ethernetl 

Router (config-if)# ip access-group egress-acl out 


© 为 了 防止 内 部 人 员 对 外 部 网 络 进行 攻击 ， 还 需要 限制 发 出 的 ICMP 流量 和 traceroute 流量 。 


Router (config)# ip access-list extended ICMP-traceroute 
Router(config-ext-nacl)£ permit icmp host 46.1.2.3 any echo 

Router (config-ext-nacl)4 permit icmp 46.1.0.0 0.0.255.255 any 
parameter-problem 

Router (config-ext-nacl)$ permit icmp 46.1.0.0 0.0.255.255 any packet-too-big 
Router(config-ext-nacl)£ permit icmp 46.1.0.0 0.0.255.255 any source-quench 
Router(config-ext-nacl)$ deny icmp any any 

Router(config-ext-nacl)£* deny udp any any range 33400 34400 

Router (config-ext-nacl)# exit 

Router (config)# interface ethernetl 

Router (config-if)# ip access-group ICMP-traceroute out 


3. 利用 ACL 阻止 不 必要 的 服务 
通常 公司 内 部 容易 造成 安全 威胁 的 软件 是 各 类 即时 通信 产品 (如 QQ、MSN)， 同 时 大 量 
的 P2P 应 用 (如 BT、 电驴 等 ) 会 导致 带宽 拥塞 ， 因 此 需要 阻止 这 些 不 必要 的 网 络 服务 。 
禁止 使 用 MSN、 电 驴 的 配置 过 程 如 下 。 
@ 如果 Sadness 公司 不 希望 员工 使 用 MSN， 可 以 通过 ACL 来 禁用 这 个 服务 。 


Router (config)# ip access-list extended MSN 
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Router(config-ext-nacl)£ deny tcp any any eq 1503 
Router(config-ext-nacl)£ deny tcp any any eq 1863 
Router(config-ext-nacl)f£ deny tcp any any eq 6891 

Router (config-ext-nacl)# deny udp any any eq 1863 
Router(config-ext-nacl)f£ deny udp any any range 13324 13325 
Router(config-ext-nacl)£ deny tcp any any eq 569 
Router(config-ext-nacl)£ deny udp any any eq 569 
Router(config-ext-nacl)£ deny ip any 64.4.13.0 0.0.0.255 
Router(config-ext-nacl)£* deny ip any host 207.46.104.20 
Router(config-ext-nacl)f£ deny ip any 207.46.96.0 0.0.0.255 
Router (config-ext-nacl)# exit 

Router (config)# interface ethernetl 

Router (Config-if)# ip access-group MSN out 


© 如 果 Sadness 公司 不 希望 员工 使 用 电驴 ， 也 可 以 通过 ACL 进行 过 滤 。 对 于 其 他 PAP 协议 (如 


BT 等 )， 在 下 一 节 介 绍 NBAR 的 时 候 再 进行 配置 。 


Router (config)# ip access-list extended banedonkey 
Router(config-ext-nacl)£ deny tcp any any range 4661 4662 
Router(config-ext-nacl)£ deny tcp any any range 4242 4243 
Router(config-ext-nacl)£ deny udp any any eq 4665 
Router(config-ext-nacl)f£ exit 

Router (config)# interface ethernetl 

Router (config-if)# ip access-group banedonkey in 

Router (config-if)# ip access-group banedonkey out 


4. 配置 定时 ACL 


例如 , 管理 员 希 望 每 周 工作 日 的 8 :00—18 :00 不 准 WWW 流量 通过 , 周末 从 中 午 到 16: 
00 不 准 UDP 流量 通过 ，2008 年 国庆 节 (10 月 1 日 一 10 H 7 日 ) 期 间 ， 不 准 任何 流量 通过 。 


其 配置 方式 如 下 。 
Router (config)#time-range weekdays 
Router (config-time-range)#period weekdays 8:00 to 18:00 
Router (config)#time-range weekend 
Router (config-time-range)#period weekend 12:00 to 16:00 
Router (config) #time-range nationalday 


Router (config-time-range)#absolute start 8:00 1 Oct 2008 end 8:00 8 Oct 2008 
Router (config) #access-list 110 deny tcp any any eq www time-range weekdays 
Router (config) #access-list 110 deny udp any any time-range weekend 
Router(config)£access-list 110 deny ip any any time-range nationalday 


Router (config)# interface ethernetl 
Router (Config-if)# ip access-group 110 in 


其 中 ，time-range 可 以 使 用 periodic 定义 一 个 周期 ， 也 可 以 使 用 absolute 定义 一 个 时 


间 段 。 
5. 配置 动态 ACL 


动态 ACL 能 够 允许 用 户 在 通过 路 由 器 认证 之 后 进行 临时 性 的 访问 。 例 如 Sadness 公司 
的 网 络 出 现 故 障 ， 需 要 Cisco TAC 的 工程 师 远 程 登录 来 检查 网 络 故障 时 ， 可 以 使 用 这 种 方 


式 。 假 设 Cisco TAC 工程 师 所 使 用 的 IP 地 址 为 64.1.1.1，Sadness 公司 的 边界 路 


地 址 为 46.1.2.3， 其 配置 方式 如 下 。 


器 的 IP 


Q 定义 一 个 用 户 名 和 密码 ， 并 加 上 autocommand 和 timeout 参数 ， 这 些 参数 必须 和 动态 ACL 


中 指定 的 超时 值 相 匹配 。 
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Router (config)# username Cisco password CiscoTAC 
Router (config)# username Cisco autocommand access-enable timeout 5 
© 定义 一 个 仅 有 一 行 的 动态 ACL， 指 定 用 户 在 通过 认证 后 才能 传输 数据 ， 同 时 此 行 设置 一 个 
超时 值 ， 应 与 上 述 匹 配 。 定 义 一 个 扩展 ACL， 其 范围 和 动态 ACL 一 样 ， 用 该 ACL 对 接口 
进行 常规 数据 流量 过 滤 ， 并 允许 该 接口 的 Telnet 访问 。ACL 定义 完成 后 ， 将 其 应 用 到 相应 
的 网 络 接口 上 。 


Router (config)#access-list 101 dynamic allowTAC timeout 5 permit ip 46.1.2.0 

0.0.0.255 

outer (court) faccess-kiut 101 permit tcp 64.1.1.0 0.0.0.255 host 46.1.2.3 

eq telnet 

© 将 login local 加 到 vty 虚拟 接口 上 ， 这 样 Cisco TAC 的 工程 师 就 能 够 远程 登录 到 公司 的 路 

由 器 上 并 检查 网 络 故障 了 。 

Router (config)#line vty 0 4 

Router (config-line)#login local 

多 点 评 与 拓展 : CISCO 对 于 配置 动态 ACL 有 如 下 规则 和 建议 。 

今 “ 对 于 超时 ， 可 以 通过 autocommand 后 加 access-enable 来 定义 ,也 可 以 用 ACL 中 的 
timeout 来 定义 。 空 闲 超 时 和 绝对 超时 (ACL 的 那个 时 间 ) 必 须 定义 ， 否 则 ， 临 时 性 
的 访问 ACL 将 无 限期 地 常 驻 在 接口 上 。 

分 ”如果 要 配置 一 个 空闲 超时 ， 其 值 应 等 于 拨号 空闲 超时 值 ， 空 闲 超 时 应 小 于 绝对 
超时 。 


822 ”基于 上 下 文 的 访问 控制 


基于 上 下 文 的 访问 控制 (Context-Based Access Control，CBAC) 提 供 了 一 种 流量 过 滤 功 
能 ， 同 时 可 用 作 网 络 防火 墙 的 智能 部 分 。 


1. CBAC 的 主要 功能 


CBAC 能 为 网 络 提供 流量 过 滤 、 流 量 检查 、 警 报 和 审计 、 入 侵 检 测 等 多 种 网 络 保护 
功能 。 

1) “流量 过 滤 

CBAC 智能 地 基于 应 用 层 协 议会 话 信息 过 滤 TCP 和 UDP 包 ， 可 以 配置 CBAC 来 允许 
指定 的 TCP 和 UDP 流量 仅 当 连接 由 保护 的 网 络 中 发 起 时 穿 过 防火 墙 . CBAC 可 以 拦截 起 源 
于 防火 墙 任意 方向 的 流量 ， 而 且 CBAC 可 以 用 在 内 部 网 络 、 外 部 网 络 和 互联 网 边缘 。 

没有 CBAC， 流 量 过 滤 仅 限于 在 网 络 层 检查 访问 列表 ， 或 者 最 多 在 传输 层 检查 访问 列 
K o CBAC 检查 的 不 仅 是 网 络 层 和 传输 层 的 信息 , 也 检查 应 用 层 的 信息 (例如 FTP 连接 信息 )， 
检测 会 话 的 状态 信息 ， 这 就 允许 支持 多 通道 协商 的 协议 。 大 多 数 多 媒体 协议 例如 FTPrpc) 
就 有 多 通道 参与 。 

使 用 CBAC 进行 Java 封锁 ， 可 以 配置 用 来 基于 服务 器 地 址 或 者 完全 地 拒绝 镶嵌 了 压缩 
包 的 Java 小 程序 。 使 用 Java， 必 须 保 护 用 户 下 载 使 用 它们 的 时 候 避 免 网 络 造 成 不 良 风险 。 
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为 了 更 好 地 保护 网 络 ， 降 低 风 险 ， 需 要 所 有 用 户 在 其 浏览 器 中 禁用 Java。 如 果 这 个 方案 不 
可 行 ， 可 以 建立 一 个 CBAC 拦截 规则 在 防火 墙 过 滤 ， 如 果 是 用 户 必 须 使 用 的 Java 程序 就 放 
行 。 如 果 要 进行 更 广泛 的 Java, Active-X 内 容 过 滤 或 者 病毒 扫描 ， 则 应 该 考虑 购买 指定 的 
过 滤 产 品 。 

2) ”流量 检查 

CBAC 通过 检查 穿 过 防火 墙 的 流量 来 探索 和 管理 TCP 和 UDP 会 话 的 状态 信息 。 这 个 状 
态 信 息 是 用 来 建立 临时 通道 打开 防火 墙 的 ACL 允许 的 流量 返回 ， 以 及 允许 会 话 的 附加 数据 

在 应 用 层 检查 包 ， 维护 TCP 和 UDP 会 话 信息 ， 提 供给 CBAC 探测 和 阻止 一 定 类 型 网 
络 攻击 (如 SYN-Flooding) 的 能 力 。SYN-Flooding 攻击 产生 在 网 络 攻 击 者 用 半 开 的 连接 持续 
连接 服务 器 的 时 候 ， 导 致 对 正常 的 服务 请 求 拒绝 。 

CBAC 帮助 防止 受到 Dos 攻击 。CBAC 监视 TCP 连接 中 的 包 状 态 序列 号 来 看 是 否 它 们 
已 越位 ，CBAC 可 以 扔 掉 任意 的 数据 包 ， 当 然 也 可 以 配置 CBAC 扔 掉 半 开 连 接 ， 那 就 需要 
更 多 的 处 理 器 和 内 存 资源 。 另 外 ，CBAC 可 以 探测 少数 非 正常 速率 的 新 连接 ， 而 且 还 能 发 

CBAC 也 能 保护 基于 碎片 的 Dos 攻击 。 尽 管 防火 墙 能 阻止 攻击 者 连接 到 假设 主机 ， 攻 
击 者 仍然 可 以 瓦解 这 个 主机 提供 的 服务 。 这 是 用 发 送 许多 非 初始 的 IP. 分 段 或 者 发 送 完整 分 
段 包 穿 过 只 过 滤 分 段 的 第 一 段 包 的 路 由 器 。 这 些 分 段 可 以 绑 定 一 些 可 以 从 新 组 装 的 包 的 一 
些 信息 。 

3) “警报 和 审计 

CBAC 也 能 生成 实时 警报 和 审计 痕迹 ， 加 强 审计 特性 ， 用 Syslog 来 跟踪 所 有 网 络 处 理 
情况 ， 记 录 时 间 戳 、 源 /目的 端口 号 和 传输 字 节 的 总 数 ， 更 高 级 的 还 有 基于 会 话 的 报告 。 实 
时 警报 基于 积极 地 探测 可 疑 情况 发 送 Syslog 错误 信息 到 中 央 管 理 控制 台 。 使 用 CBAC 监视 
规则 ， 可 以 基于 每 一 个 协议 配置 警报 和 跟踪 信息 。 例 如 ， 想 要 生成 关于 HTTP 流量 的 跟踪 
信息 ， 可 以 在 CBAC 规则 中 加 入 指定 的 条 目 。 

4) 入侵 检 测 

CBAC 提供 一 种 有 限 的 入 侵 检 测 以 保护 指定 的 SMTP 攻击 。 使 用 入 侵 检测 ，Syslog fi 
息 显 示 和 监控 指定 的 “攻击 特征 ”。 特定 的 网 络 攻 击 类 型 有 指定 的 角色 或 特征 。 当 CBAC 检 
测 到 攻击 ， 便 复位 有 关连 接 ， 将 系统 日 志 发 送 到 Syslog 服务 器 。 

CBAC 提供 附加 的 有 限 的 入 侵 检测 ，Cisco IOS 防火 墙 特性 集 提供 入 侵 检 测 技术 给 中 等 
级 别 和 高 端 路 由 器 平台 使 用 Cisco IOS 防火 墙 IDS。 这 里 考虑 到 网 络 大 小 ， 尤 其 是 路 由 器 作 
为 附加 和 扩展 的 安全 性 ， 在 网 络 段 之 间 是 需要 的 。 它 也 能 保护 企业 内 部 网 和 外 部 网 连接 的 
附加 安全 ， 也 管理 分 支 办 公 室 站 点 连接 到 总 部 或 者 Internet。 

Cisco IOS 防火 墙 入 侵 检 测 能 识别 59 种 常见 的 攻击 , 使 用 特征 来 探测 网 络 流量 滥用 。 入 
侵 检测 特征 在 Cisco IOS 防火 墙 入 侵 检 测 特 性 集 的 新 版 本 中 选择 了 宽泛 的 入 侵 检 测 特征 穿越 
区 。 这 些 特征 能 有 效 阻止 对 安全 构成 危险 的 大 多 数 普通 网 络 攻击 和 抽取 信息 的 扫描 。 

当然 ，CBAC 也 有 许多 缺陷 : 它 不 能 提供 智能 地 过 滤 所 有 协议 ， 它 仅 能 在 制订 的 规则 
下 工作 。 如 果 没 有 指定 一 个 协议 给 CBAC， 那 么 已 存在 的 ACL 将 决定 协议 是 否 被 过 滤 ， 而 
不 会 给 未 指定 的 协议 开 临 时 通道 。CBAC 不 会 保护 源 于 受 保护 网 络 的 攻击 ， 除 非 流量 穿越 
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14. CBAC 只 检测 和 保护 穿 过 防火 墙 的 攻击 流量 。 


一 个 有 Cisco IOS 防火 墙 特性 的 路 
2. 配置 CBAC 


下 面 简要 介绍 在 基于 Cisco IOS 防火 墙 上 配置 CBAC 的 过 程 。 
Q 定义 一 个 ACL， 并 将 其 应 用 到 某 个 接口 上 。 


Router (config)# ip access-list extended banedonkey 
Router(config-ext-nacl)£ deny tcp any any range 4661 4662 
Router(config-ext-nacl)£ deny tcp any any range 4242 4243 
Router(config-ext-nacl)£ deny udp any any eq 4665 

Router (config-ext-nacl)£t exit 

Router (config)# interface ethernetl 

Router (Config-if)# ip access-group banedonkey in 

Router (config-if)# ip access-group banedonkey out 


© 定义 一 个 CBAC 列表 . 


Router (config)# ip inspect name CBAC smtp audit-trail on // 打 开 审 计 功 能 
Router (config)# ip inspect name CBAC ftp alert on // 打 开 报警 功能 
Router (Config)# ip inspect name CBAC http 

Router (Config)# ip inspect name CBAC realaudio 

Router (Config)# ip inspect name CBAC tcp 

Router (Config)# ip inspect name CBAC udp 

Router (Config)# ip inspect name CBAC icmp 


© 在 接 吕 上 应 用 CBAC 规则 . 
Router (config-if)# ip inspect CBAC in 
3. 应 对 攻击 
常 ， 在 网 络 中 大 量 的 病毒 是 通过 Java 小 程序 进行 传播 的 ， 
发 送 来 的 Java 小 程序 进行 过 滤 。 过 滤 方 法 如 下 。 
定义 一 个 ACL， 用 于 放行 可 信 区 域 Java 小 程序 。 


Router (config)# ip access-list standard banjava 
Router(config-ext-nacl)4 deny 46.1.0.0 0.0.255.255 / HEBR RT] f DX 
Router(config-ext-nacl)£ permit any 

Router(config-ext-nacl)f£ exit 


© 配置 CBAC 阻隔 Java 小 程序 。 


Router (Config)# ip inspect name deny-java http java-list banjava 
Router (config)# interface ethernetO 
Router(config-if)£* ip inspect deny-java out 


© 为 了 交换 机 、 路 由 器 的 安全 ， 还 可 以 对 TCP、UDP 进行 限制 。 


Router (config)# ip inspect tcp synwait-time 15 
Router (config)# ip inspect tcp idle-time 120 
Router (Config)# ip inspect udp idle-time 20 


O 在 一 些 特殊 情况 下 ， 还 需要 对 URL 进行 过 滤 。URL 过 滤 可 以 使 用 如 下 方式 。 


Router (config)# ip inspect name url-filter http urlfilter // 创 建 URL 过 滤 服 务 器 
Router (config)# ip urlfilter server vendor websense 46.1.23.1 // 指 定 内 容 过 
滤 服 务 器 


对 不 可 信 区 域 
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Router (config)# ip urlfilter cache 7000 /7VURI 缓 存 大 小 
Router (config)# ip urlfilter max-request 1500 //URL 最 大 请 求 数 
Router (config)# ip urlfilter max-resp-pack 300 //URL 最 大 回复 数 


Router (config)# ip urlfilter exclusive-domain permit .cisco.com 
Router (config)# ip urlfilter exclusive-domain deny .sex.com 


// 排 除 域 ， 直 接 通 过 cisco .com 的 流量 ， 并 禁止 sex .com 的 非法 流量 


Router (config)# ip urlfilter audit-trail // 为 URL 过 滤 服 务 器 创建 审计 
Router (config)# ip urlfilter alert /7 创建 URIL 报 警 

Router (config)# ip urlfilter urlf-server-log / /创建 URL 过 滤 服 务 器 日 志 
Router (config)# interface Ethernetl 

Router (config-if)# ip inspect url-filter out // 应 用 cBAC 


8.2.3 基于 网 络 的 应 用 识别 


基于 网 络 的 应 用 识别 (Network-Based Application Recognition, NBAR) 是 一 种 动态 的 、 能 
在 第 四 层 至 第 七 层 识别 协议 的 技术 , 它 不 但 能 像 普 通 ACL 那样 控制 静态 的 、 简 单 的 网 络 应 
用 协议 TCP/UDP 的 端口 号 (例如 ， 我们 熟知 的 Web 应 用 使 用 的 TCP 80 端口 )， 也 能 做 到 控 
制 一 般 ACL 不 能 做 到 的 使 用 动态 端口 的 那些 协议 ， 例 如 VoIP 使 用 的 H.323. SIP 等 。 

在 使 用 NBAR 的 时 候 ， 首 先 要 启用 CEF 特性 ， 并 使 用 数据 包 描 述 语 言 模块 PDLMD 从 
路 由 器 的 闪存 里 加 载 ， 用 于 在 不 使 用 新 的 Cisco IOS 软件 ， 或 重启 路 由 器 的 情况 下 对 新 的 协 
议 或 应 用 程序 进行 识别 。 

应 用 NBAR 时 , 不 能 在 快速 以 太 网 信道 、 使 用 了 隧道 或 加 密 技术 的 接口 、SVI、 拨 号 接 
口 和 多 链 路 PPP(MLP) 这 些 接 口上 启用 ， 并 且 存 在 如 下 限制 。 
不 支持 多 于 24 个 的 并 发 URL. HOST 或 MINE 的 匹配 类 型 。 
不 支持 超过 400 B 的 URL. 匹配 。 
不 支持 非 IP 流量 。 
不 支持 组 播 或 其 他 非 CEF 的 交换 模式 。 
不 支持 被 分 片 的 数据 包 。 
不 支持 源 自 或 去 往 运 行 NBAR 的 路 由 器 的 耳 流 。 
1. NBAR 的 配置 过 程 


下 面 简要 介绍 在 基于 Cisco IOS 防火 墙 上 配置 NBAR 的 过 程 。 
© 启用 路 由 器 的 CEF 特性 . 


Router(config)fip cef 


© 通过 定义 类 映射 把 流量 进行 分 类 ， 并 设置 相应 的 匹配 规则 。 


Router (config)#class-map [match-all|match-any] í(map-name] 
Router (config-cmap)#match protocol (protocol) 


© 设置 策略 映射 ， 并 调用 上 一 步 配置 的 类 映射 


Router (config)#policy-map {policy-name} 
Router (config-pmap)#class {class-map} 
Router (config-pmap-c)#drop 


O 将 策略 应 用 到 接口. 
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Router(config)£interface FastEthernet 1/x 
Router(config-if)£$service-policy (input|output) (policy-map] 
© 可 以 使 用 如 下 命令 验证 NBAR 配置 


Router#show class-map [map-name] // 查看 流量 分 类 信息 

Router#show policy-map [policy-name] // 查 看 策略 映射 

Router#show policy-map interface [interface] // 查 看 接口 的 策略 映射 信息 
Router#show ip nbar pdlm // 显 示 NBAR 所 使 用 的 PDLM 

Router#show ip nbar port-map // 显 示 NBAR 使 用 的 协议 到 端口 号 的 映射 信息 


2. 利用 NBAR 进行 流量 控制 


NBAR 可 以 方便 地 进行 一 些 应 用 的 过 滤 ， 最 常见 就 是 一 些 基于 POP 应 用 的 过 滤 。 
BT/eDonkey 这 类 P2P 软件 使 用 非常 方便 , 就 像 一 个 浏览 器 插件 , 很 适合 新 发 布 的 热门 下 载 。 
其 特点 简单 地 说 就 是 下 载 的 人 越 多 ， 速度 越 快 。 由 于 BT/eDonkey 大 量 的 使 用 会 造成 网 络 带 
宽 被 尽情 消耗 ， 导 致 一 些 企业 和 单位 的 关键 业务 不 能 正常 运行 ， 所 以 有 必要 对 BT/eDonkey 
流量 进行 控制 。 

要 实现 对 BT/eDonkey 流量 的 控制 ， 就 要 在 Cisco 路 由 器 上 实现 对 PDLM(Packet 
Description Language Module， 数 据 包 描 述 语 言 模块 ) 的 支持 。PDLM 是 一 种 对 网 络 高 层 应 用 
的 协议 层 的 描述 ， 例 如 协议 类 型 、 服 务 端口 号 等 。 它 的 优势 是 让 NBAR 适应 很 多 已 有 的 网 
络 应 用 ， 如 HTTP. DNS, FTP, VoIP 等 ， 同 时 它 还 可 以 通过 定义 来 使 NBAR 支持 许多 新 
兴 的 网 络 应 用 。PDLM 可 以 在 Cisco 的 网 站 上 下 载 , 利用 PDLM 可 以 限制 一 些 网 络 上 的 恶 
iint o 

下 面 介绍 利用 PDLM 实现 对 BT/eDonkey 流量 的 控制 。 
Q 加 载 相 应 的 PDLM 模块 . 


Router (config)# ip nbar pdlm bittorrent.pdlm 
Router (Config)# ip nbar pdlm edonkey.pdlm 


@ 定义 类 映射 . 


Router (config)#class-map match-all bittorrent 
Router (config-cmap)#match protocol bittorrent 
Router (config)#class-map match-all edonkey 
Router (config-cmap)#match protocol edonkey 


© 定义 策略 映射. 


Router (config)#policy-map btedonkey 
Router (config-pmap)# class bittorrent 
Router (config-pmap-c)#drop 

Router (config-pmap)# class edonkey 
Router (config-pmap-c)#drop 


// 除 drop 策略 外 ，IOS 还 支持 对 应 用 进行 限 速 


Router(config-pmap-c)£ police cir 240000 
Router(config-pmap-c)£ conform-action transmit 
Router(config-pmap-c)£ exceed-action drop 


O 将 策略 应 用 到 网 络 接口 . 
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Router (config)#interface FastEthernet 1/x 
Router (config-if)# service-policy input btedonkey 
Router (config-if)# service-policy output btedonkey 


3. 利用 NBAR 过 滤 蠕 虫 病毒 


在 某 些 情况 下 , NBAR 也 可 以 用 于 对 Nimda 和 Red Code 这 类 蠕虫 病毒 的 过 滤 。 其 配置 
方法 如 下 。 
ip cef 


class-map match-all DENY-ATTACK 

match protocol http url "*.ida*" 
match protocol http url "*cmd.exe*" 
match protocol http url "*root.exe*" 
match protocol http url "*readme.eml*" 
1 


policy-map antiworm class DENY-ATTACK drop 
interface Serial0 

ip address 10.0.0.1 255.255.255.252 
service-policy input antiworm 


8.3 Cisco PIX/ASA 防火 墙 


在 Internet. 上 大 量 使 用 的 防火 墙 产品 就 是 Cisco 的 PIX 防火 墙 ， 国 内 众多 银行 、 证 券 机 
构 、 政 府 机 构 也 大 量 使 用 该 产品 。 

但 是 黑客 们 日 益 聚 焦 于 混合 型 的 威胁 ， 结 合 各 种 有 害 代码 来 探测 和 攻击 系统 漏洞 。 这 
些 泥 合 攻击 分 别 绕 过 现 有 的 安全 结 点 ， 如 独立 的 VPN、 防 火 墙 和 防毒 产品 ， 形 成 各 种 形态 、 
持续 的 攻击 流 。 黑 客 自动 工具 、 混 合 攻击 以 及 蜂 虫 和 木马 病毒 增加 了 数据 曝光 的 可 能 性 。 
脆弱 点 、 配 置 错 误 和 缺乏 管理 等 问题 更 使 实现 安全 的 难度 增加 。 威 胁 的 形态 表现 为 病毒 、 
蠕虫 、 木 马 、 灰 色 件 、 间 谍 件 、 垃 圾 邮件 、 配 置 错误 、 应 用 程序 脆弱 点 、 自 动 的 黑客 工具 
和 脚本 、 拒 绝 服务 、 缓 冲 溢出 、Cookie 中 毒 等 。 威 胁 的 另 一 特点 是 新 漏洞 攻击 产生 的 速度 
快 ， 即 称 为 “ 零 小 时 ”(0 houpik “FH” (0 day) 新 的 未 知 的 攻击 。 另 外 ， 社 会 工程 陷阱 型 
的 攻击 ， 包 括 间谍 软件 、 网 络 欺诈 、 基 于 邮件 的 攻击 和 恶意 Web 站 点 、Web 重 定向 等 ， 伪 
装 为 合法 应 用 和 邮件 信息 欺骗 用 户 的 威胁 日 益 增多 。 

2005 年 5 月 , Cisco 推出 了 一 个 新 的 产品 一 一 适应 性 安全 产品 (Adaptive Security Appliance, 
ASA). ASA 是 Cisco 系列 中 全 新 的 防火 墙 和 反 恶 意 软件 安全 工具 ， 它 包括 Firewall, IPS. 
Anti-X 和 VPN 四 种 功能 。 同 时 ，IDC 提出 将 防 病毒 、 入 侵 检测 和 防火 墙 安全 设备 命名 为 统 
一 威胁 管理 (United Threat Management，UTMD) 设 备 。 

而 ASA 恰好 针对 这 些 不 同类 型 的 攻击 提供 了 防护 。 加 装 一 个 内 容 安全 及 控制 安全 服务 
模块 (Content Security Control and Security Service Module，CSC-SSM) 后 ， 它 比 一 台 UTM 设 
备 具有 更 高 的 安全 性 。 


8.3.1 PIX/ASA 防火 墙 基本 配置 


作为 Cisco 公司 生产 的 网 络 安全 产品 ，PIX/ASA 防火 墙 的 配置 方法 与 Cisco 交换 机 /路 
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器 的 配置 方法 类 似 ， 甚 至 很 多 命令 都 一 样 。 下 面 简要 介绍 PIX/ASA 防火 墙 基本 配置 和 管 
方法 ， 这 些 配置 通常 是 通过 命令 行 来 完成 的 。 
1. 检查 License 
对 于 一 台 PIX 防火 墙 ， 需 要 检查 它 的 许可 协议 是 否 可 用 。 检 查 方法 如 下 。 
o 通过 show version 命令 ， 查 看 序列 号 和 激活 码 。 


pixfirewall# show version 
Cisco PIX Security Appliance Software Version 8.0(2) 
Device Manager Version 6.0(2) 


= 


w 


Compiled on Fri 15-Jun-07 18:25 by builders 
System image file is "flash:/pix802.bin" 
Config file at boot was "startup-config" 


pixfirewall up 10 mins 43 secs 


Hardware: PIX-525, 1024 MB RAM, CPU Pentium III 1000 MHz 
Flash E28F128J3 8 Oxfff00000, 16MB 
BIOS Flash AM29F400B 8 Oxfffd8000, 32KB 


0: Ext: EthernetO : address is 0010.7800.0001, irq 9 
1: Ext: Ethernetl : address is 0010.7800.0002, irq 11 
2: Ext: Ethernet2 : address is 0010.7800.0003, irq 11 


Licensed features for this platform: 


Maximum Physical Interfaces z 19 
Maximum VLANs : 100 
Inside Hosts : Unlimited 
Failover : Active/Active 
VPN-DES : Enabled 
VPN-3DES-AES : Enabled 
Cut-through Proxy : Enabled 
Guards : Enabled 
URL Filtering : Enabled 
Security Contexts 22 
GTP/GPRS : Disabled 
VPN Peers : Unlimited 


This platform has an Unrestricted (UR) license. 


Serial Number: ********* 
Running Activation Key: 444443 X44444dd d kk GGG 
Configuration has not been modified since last system restart. 


@ 如 果 尚 未 激活 ， 则 需 使 用 如 下 命令 输入 激活 码 激活 。 


pixfirewall# activation-key ? 
<0x0-0xffffffff> Enter four-or-five-tuple activation-key 
noconfirm Do not prompt for confirmation 


2. 基本 连通 性 配置 


图 8-11 所 示 为 Sadness 公司 边界 防火 墙 配置 示意 图 ， 在 建立 一 系列 安全 策略 前 ， 需 要 
将 网 络 连接 通畅 。 
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下 面 是 基本 连通 性 的 配置 过 程 : 


Q 根据 图 8-11 所 示 的 拓扑 ， 


应 的 安全 等 级 。 


配置 每 个 网 络 接口 的 IP 地 址 、 速 率 、 双 工 模式 、 别 名 ， 并 定义 相 


Firewall (config)# interface gigabitethernetO 


Firewall (config-if)# 
Firewall (config-if)# 
Firewall (config-if)# 
Firewall (config-if)# 
Firewall (config-if)# 


speed auto 

duplex auto 

nameif inside 
security-level 100 

ip address 192.168.1.0 


255.255.255.0 


Firewall (config)# interface gigabitethernetl 


Firewall (config-if)# 
Firewall (config-if)# 
Firewall (config-if)# 
Firewall (config-if)# 
Firewall (config-if)# 


speed auto 

duplex auto 

nameif outside 
security-level 0 

ip address 192.168.2.0 


255.255.255.0 


Firewall (config)# interface gigabitethernet2 
speed auto 
duplex auto 


Firewall (config-if)# 
Firewall (config-if)# 


Firewall (config-if)# 
Firewall (config-if)# 
Firewall (config-if)# 


Web 服 务 器 


nameif dmz 
security-level 50 
ip address 192.168.3.0 


255.255.255.0 


内 部 办 公 网 络 


DNS 服 务 器 


图 8-11 Sadness 公司 边界 防火 墙 
© 为 了 保证 数据 包 能 正确 转发 ， 还 需要 配置 路 由 表 。 如 果 网 络 结构 简单 ， 可 以 使 用 下 面 的 方 


法 配置 静态 路 由 。 


Firewall (config)# route if name 0.0.0.0 0.0.0.0 gateway ip [metric] 


© rx 也 可 以 配置 动态 路 由 协议 ， 


由 协议 的 例子 。 


Firewall (config)# router 
Firewall (config-router)# 
Firewall(config-router)4 
Firewall (config-router)4£ 
Firewall(config-router)4 
Firewall(config-router)*t 
Firewall(config-router)*t 
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和 IOS 路 由 器 的 配置 方法 类 似 。 下 面 是 配置 OSPF 动态 路 


ospf 1 

router-id 192.168.1.1 

network 192.168.1.0 255.255.255.0 area 0 
network 192.168.0.0 255.255.0.0 area 100 
area 0 authentication message-digest 

area 0 filter- list prefix InsideFilter in 
area 100 authentication message-digest 
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Firewall(config-router)£t exit 
Firewall (config)# interface gigabitethernetl 
Firewall (config-if)# ospf message-digest-key 1 md5 cisco 
Firewall (config-if)# interface gigabitethernetO 
Firewall (config-if)# ospf message-digest-key 1 md5 cisco 
Firewall (config-if)# exit 


O 在 某 些 时 候 ， 外 部 全 局 地 址 有 限 ， 需 要 配置 NAT 地 址 转换 。 其 配置 模板 如 下 。 


Firewall(config)*$ global (outside) $ 46.1.1.10-46.1.1.60 netmask 
255.255.255;128 

Firewall (config)# global (outside) 1 46.1.1.61 

Firewall (config)# nat (inside) 1 10.16.0.0 255.255.0.0 0 0 

Firewall (config)# global (outside) 2 46.1.1.65-46.1.1.125 netmask 
255.255.255.128 

Firewall (config)# global (outside) 2 46.1.1.126 

Firewall (config)# nat (inside) 2 10.17.0.0 255.255.0.0 0 0 

Firewall (config)# global (outside) 3 interface 

Firewall (config)# nat (inside) 3 access-list nat 0 0 0 0 

Firewall (config)#  access-list acl no nat permit ip host  10.16.1.1 
192.168.23.0 255.255.255.0 

Firewall (config)# nat (inside) 0 access-list acl no nat 

Firewall (config)# access-list acl inside permit ip 10.16.0.0 255.240.0.0 any 
Firewall(config)£*access-listacl insidepermitip192.168.12.0255.255.255.0 
any 

Firewall (config)# access-list acl inside deny ip any any 

Firewall (config)# access-group acl inside in interface inside 


© 为 了 提高 安全 性 ， 还 可 以 配置 uRPF. 


Firewall# show ip verify statistics [interface if name] 


Q 可 以 通过 show route 命令 查看 路 由 表 ， 验 证 路 由 配置 是 否 正确 。 


Firewall# show route 

S 0.0.0.0 0.0.0.0 [1/0] via 10.74.3.3, outside 

c 10.74.3.3 255.255.255.128 is directly connected, outside 
[e] 192.168.3.0 255.255.255.0 [1/0] via 192.168.4.4, inside 

c 192.168.4.0 255.255.255.0 is directly connected, inside 

Firewall& 


3. 配置 PIX/ASA 的 远程 管理 方式 


通常 ，PIX/ASA 可 以 通过 SSH. Telnet 以 及 ASDM/PDM( 自 适应 安全 设备 管理 器 /PIX 
设备 管理 器 ) 的 方式 进行 远程 管理 。 配 置 远程 管理 的 方法 如 下 。 
Q 创建 登录 用 户 及 密码 . 通常 PIX/ASA 除了 支持 本 地 用 户 /密码 数据 库 以 外 , 还 支持 基于 AAA 
的 登录 方式 。 


Firewall (config)# aaa-server sadnessRadius protocol radius 

Firewall (config)# aaa-server sadnessRadius (inside) host 10.0.98.10 key 
Cisco 

Firewall (config)# aaa-server sadnessRadius (inside) host 10.0.98.11 key 
Cisco 

Firewall (config)# aaa-server sadnessRadius (inside) host 10.0.98.12 key 
Cisco 

Firewall (config)# aaa-server sadnessRadius (inside) host 10.0.98.13 key 
Cisco 

Firewall (config)# aaa-server sadnessRadius (inside) host 10.0.98.14 key 
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Cisco 

Firewall (config)# aaa authentication serial console sadnessRadius LOCAL 
Firewall (config)# aaa authentication telnet console sadnessRadius LOCAL 
Firewall (config)# aaa authentication ssh console sadnessRadius LOCAL 
Firewall (config)# aaa authentication http console sadnessRadius LOCAL 
Firewall (config)# aaa authentication enable console sadnessRadius LOCAL 
Firewall (config)# username admin password AdminPW privilege 15 


© 配置 SSH 登录 . Øl, REA IP H 192.168.1.4 的 主机 通过 SSH 方式 访问 inside 接口 。 


pixfirewall(config)£ hostname SadnessFW // 配 置 域名 
SadnessFW (config)# domain-name sadness.net // 配 置 主机 名 
SadnessFW (config)# crypto key generate rsa modulus 1024 // 生 成 密 名 

INFO: The name for the keys will be: <Default-RSA-Key> 

Keypair generation process begin. Please wait... 

SadnessFW(config)£* ssh 192.168.1.4 255.255.255.255 inside// 配 置 SSH 接 入 控制 


© 配置 Telnet 登 录 . 例 如 ,要 允许 连接 在 inside 接 口上 .了 地 址 为 192.168.1.3 的 主机 通过 Telnet 
访问 防火 墙 。 


Firewall (config)#telent 192.168.1.3 255.255.255.255 inside 


O 如 果 希 望 能 够 通过 图 形 化 界面 来 管理 PIX/ASA， 则 需要 配置 ASDM/PDM 登录 ， 例 如 需要 
从 IP 为 192.168.1.0/24 网 络 的 主机 通过 ASDM 访问 inside 接口 。 对 于 使 用 ASDM 管理 
PIX/ASA 将 在 下 一 节 中 介绍 。 


SadnessFW (config)# http server enable 
SadnessFW(config)£ http 192.168.1.0 255.255.255.0 inside 


4. 配置 故障 倒 换 

通常 ，PIX/ASA 部 署 方式 为 串 行 接 入 网 络 ， 即 一 端 连 接 外 部 网 络 ， 另 一 端 连接 内 部 网 
络 。 如 果 在 区 域 分 割 的 三 角 方 式 中 ， 还 有 一 端 连接 DMZ 主机 ， 当 PIX/ASA 出 现 故障 后 ， 
这 样 的 拓扑 结构 非常 容易 造成 单 点 失效 故障 。 因 此 有 必要 对 PIX 进行 热 备份 保护 ， 即 配置 
PIX/ASA 故障 倒 换 ， 其 连接 方式 如 图 8-12 所 示 。 


EW A 


Q -t ) 
文件 服务 器 Veg 


打印 服务 器 


图 8-12 故障 倒 换 拓 扑 结构 


配置 故障 倒 换 的 操作 步骤 如 下 。 
Q 按照 下 列 方式 配置 主 (Primary) 防 火 墙 . 


interface GigabiteEthernetO 
speed 100 
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nameif outside 

security-level 0 

ip address 10.131.0.1 255.255.255.0 standby 10.131.0.2 
1 


interface GigabiteEthernetl 

speed 100 

nameif inside 

security-level 100 

ip address 10.0.0.1 255.255.255.0 standby 10.0.0.2 
! 


interface GigabiteEthernet2 

speed 100 

nameif dmz 

security-level 50 

ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2 
1 


failover lan interface lanfail GigabiteEthernet3 

failover key ***** 

failover interface ip lanfail 172.16.12.1 255.255.255.0 standby 172.16.12. 
failover lan unit primary 

failover lan enable 

failover 


@ 按照 下 列 方式 配置 从 (Secondary) 防 火 墙 . 


failover lan interface lanfail GigabiteEthernet3 

failover key sadnesswork 

failover interface ip lanfail 172.16.12.1 255.255.255.0 standby 172.16.12. 
failover lan unit secondary 

failover lan enable 

failover 


© 两 台 防 火 墙 发 生意 外 (例如 同时 断 电 ) 时 ， 如 果 没有 防火 墙 的 硬件 备份 的 话 ， 管 理 员 将 面临 
巨大 的 心理 压力 。 假 如 把 防火 墙 配置 成 透明 模式 (可 称 为 伪 网 桥 )， 就 无 需 更 改 网 络 架构 ， 即 
使 是 防火 墙 不 能 工作 了 ， 要 做 的 仅仅 是 拔 出 网 线 ， 把 网 线 直 接 插 入 路 由 器 的 内 部 接口 ， 网 
络 就 可 以 正常 工作 了 ， 然 后 就 有 时 间 慢 慢 恢复 发 生 故 障 的 防火 墙 。 


Firewall (config)#firewall transparent 
Firewall (config)# interface GigabitethernetO 
Firewall (config-if)# speed auto 

Firewall (config-if)# duplex auto 

Firewall (config-if)# nameif inside 

Firewall (config-if)# security-level 100 
Firewall (config)# interface Gigabitethernetl 
Firewall (config-if)# speed auto 

Firewall (config-if)# duplex auto 

Firewall (config-if)# nameif outside 

Firewall (config-if)# security-level 0 


8.3.2 利用 ASDM 配置 PIX/ASA 防火 墙 


为 了 简化 PIX/ASA 防火 墙 的 配置 和 管理 ，Cisco 提供 了 ASDM. ASDM 基于 图 形 化 配 
置 和 管理 PIX/ASA 防火 墙 , 这 比 使 用 命令 行 方式 配置 PIX/ASA 防火 墙 要 简单 得 多 。 下 面 简 
要 介绍 ASDM 的 安装 方法 及 主要 配置 功能 。 


be 


m BREASTS. 


1. 安装 ASDM 
由 于 Cisco PIX 6.x 以 下 版 本 的 软件 不 支持 ASDM， 因 此 安装 ASDM 之 前 ， 需 要 将 PIX 


升级 到 7.0。 可 以 通过 show version 命令 来 查看 软件 的 版 本 和 PIX 的 型 号 。 在 升级 时 需要 注 


E 
nx 


如 果 使 用 的 是 PIX 515 或 者 515e 设备 ， 需 要 升级 内 存 才能 安装 PIX 7.0， 这 是 因为 PIX 


515/515e 系列 产品 总 内 存 容量 为 32MB， 而 PIX 7.0 和 ASDM 需要 64MB 的 内 存 。 


下 面 简要 介绍 ASDM 的 安装 过 程 。 

从 Cisco 网 站 下 载 ASDM 图 像 ， 将 其 存放 在 网 络 中 某 台 TFTP 服务 器 上 。 在 本 例 中 使 用 的 
是 ASDM 的 5.02 版 ， 文 件 名 为 asdm502.bin。 

通过 Consol 接口 或 远程 登录 到 PIX/ASA 防火 墙 ， 进 入 防火 墙 的 特权 模式 。 


SadnessFW > enable 
SadnessFW # 


将 TFTP 服务 器 中 的 ASDM 图 像 复制 到 PIX 防火 墙 的 Flash 中 。 


SadnessFW # copy tftp flash 

Address or name of remote host [x.x.x.x]? 192.168.1.100«CR» 

Source file name [cdisk]? asdm502.bin «CR» // 输 入 RSDM 图 像 的 文件 名 
Destination file name [asdm502.bin]?«CR» 


告诉 PIX 软件 ASDM 存储 的 位 置 。 


SadnessFW #configure termina 
SadnessFW (config)# asdm image flash:asdm502.bin 


启动 HTTP/HTTPS 服务 器 ,并 设置 允许 通过 ASDM 访问 防火 墙 的 主机 的 位 置 . 例如 需要 从 
IP Jj 192.168.1.0/24 网 络 的 主机 通过 ASDM 访问 inside 接口 。 


SadnessFW (config)# http server enable 
SadnessFW (config)# http 192.168.1.0 255.255.255.0 inside 


配置 完成 后 ， 保 存 上 述 配置 。 
SadnessFW (config)# write memory 


保存 配置 后 ， 可 以 通过 ASDM 软件 或 者 浏览 器 访问 “https://<firewall-ip-address>” 来 配置 
或 管理 PIX/ASA 防火 墙 ， 如 图 8-13 所 示 。 


(7-7 Cisco ASDM Launcher v1.5(22) eoe 
" aleae 
E Cisco ASDM Launcher — dub 
Password: CIIIIIIIJ 
C Run in Demo Mode 
ED 
sâ 


图 8-13 ”通过 ASDM 管理 防火 墙 
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OQ 输入 用 户 名 和 密码 登录 后 ， 便 可 以 进入 ASDM 管理 界面 ， 如 图 8-14 所 示 。 
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8-14 ASDM 管理 界面 


2. 配置 日 志 


日 志 服 务 可 以 记录 所 有 对 防火 墙 的 配置 行为 ， 当 防火 墙 被 非法 配置 后 ， 可 以 向 管理 员 
发 送 警报 并 进行 追踪 。 下 面 是 利用 ASDM 来 配置 PIX/ASA 防火 墙 日 志 的 过 程 。 
o 打开 ASDM 管 理 界 面 后 ,选择 Configuration Device Management —Logging—Logging Setup 
结 点 , 选中 Enable logging 复 选 框 , 开启 日 志 服 务 功能 用 于 监控 PIX/ASA 防火 墙 , 如 图 8-15 
所 示 。 
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8-15 ”开启 日 志 服 务 功能 
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© 单 击 Logging Filters 结 点 ， 在 右 侧 的 窗 格 中 选择 ASDM 一 行 ， 并 将 其 Filter on severity 下 拉 
列表 框 设置 为 Warnings， 如 图 8-16 所 示 。 
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8-16 配置 日 志 服务 功能 


3. 设置 网 络 连 接 

ASDM 提供 了 基于 图 形 化 的 接口 PP 地址、 接口 名 称 、 安 全 等 级 等 定义 方式 ， 并 且 路 由 
协议 、 故 障 倒 换 等 也 可 以 通过 ASDM 定义 。 其 操作 方法 如 下 。 

X4% Configuration Device Setup 一 Interfacses 结 点 , 可 以 配置 接口 P 地 址 、 安 全 等 级 等 参 

数 ， 如 图 8-17 所 示 。 
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© 选择 Configuration Device Setup —Routing 结 点 ,可 以 配置 多 种 路 由 协议 , 如 图 8-18 所 示 。 
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e 选择 Configuration Device Management —High Availability 结 点 ， 可 以 配置 故障 倒 换 属 性 ， 
如 图 8-19 所 示 。 


画 Cisco ADM A O or ASA -Pom 


000 


abili 
cisco 


High Avalabiicy and Scalaliy Wizare 


Ves this wizard Us exaficure Artive/hetive er Activa/Stundly feilever, w VER 
ster lzablalawiar The failewine are ibe types sf high availability and 
silty eenfigwatisas available based cm Qus firewall s hardeare and 
p: 

Thin Tiresall' s Nardoure/Softaere Profile: 


Harare Podal: asao Sottaure Versien: 8.00) 
Deer of Interfase: S Cy detive/Stendiy 
baltiem Mailer Tene Fire msie Single Gora 


OG 
Caties ltivlMctive fuer 
O Estiges Merry teet 


Configure VIT Chester Lond Balancing 


asio hs [Ir] [ITTTT 


图 8-19 配置 故障 倒 换 
人 


XM ELLE 


4. 配置 安全 访问 策略 


通常 ， 我 们 将 Web 服务 器 、DNS 服务 器 以 及 邮件 服务 器 放 入 DMZ 区 域 中 。 因 此 需要 
定义 一 些 策略 ， 让 它们 能 够 通过 一 些 方式 被 内 部 网 络 和 外 部 网 络 访问 。 

例如 ， 在 图 8-20 中 ， 需 要 允许 以 下 流量 的 访问 。 

* ”允许 内 部 网 络 到 DMZ 区 域 的 DNS 服务器、E-mail 服务 器 、Web 服务 器 的 访问 ; 

* ftir DMZ 区 域 的 DNS 服务 器 、E-mail 服务 器 到 外 部 网 络 的 访问 ; 

* ”允许 外 部 网 络 访问 DMZ 区 域 的 服务 器 。 


内 部 办 公 网 络 


Web 服 务 器 a DNS 服务 器 


图 8-20 ”安全 访问 策略 
要 实现 上 述 目 标 ， 可 以 按 以 下 方式 来 配置 。 
定义 端口 组 。 选择 Configuration Firewall Objects 一 Service Groups 结 点 ， 可 以 配置 一 系 
列 服务 所 使 用 的 端口 构成 的 端口 组 ， 如 图 8-21 所 示 。 
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8-21 配置 服务 端口 组 
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© 选择 Configuration 一 Firewall —Access Rules 结 点 ， 并 选择 Add Access Rule 命令 ,在 打开 的 
对 话 框 中 可 以 配置 访问 规则 ,并 且 可 以 在 Service 选项 中 关联 前 一 步 创 建 的 端口 组 ,如 图 8-22 


所 示 。 
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8-22 ”添加 访问 规则 
© 选择 Configuration FirewallNAT Rules 结 点 ， 并 选择 Add NAT Exempt Rule 命令 ， 
配置 inside 端 到 DMZ dns/mail 的 访问 规则 ， 如 图 8-23 所 示 。 
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8-23 ”添加 NAT Exempt 规则 


© i Configuration>Firewall ->NAT Rules 结 点 ， 并 选择 Add Static NAT Rule 命令 ， 可 以 配 
置 外 部 网 络 能 够 访问 到 Web 服务 器 ， 如 图 8-24 所 示 。 
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5. 配置 应 用 检测 


在 PIX/ASA 防火 墙 上 ， 可 以 通过 配置 应 用 检测 功能 ， 对 特定 的 网 络 服务 进行 过 滤 或 流 
量 控制 ， 例 如 禁止 内 部 员工 使 用 即时 通信 和 服务 (如 IMD 或 限制 用 户 FTP 下 载 的 速率 等 。 
@ 要 控制 IM 软件 的 使 用 , 可 以 选择 Configuration 一 Firewall 一 Service Policy Rules 结 点 , 单 击 
Add 按钮 添加 相应 协议 的 过 滤 。 在 打开 的 对 话 框 中 ,选中 IM 复 选 框 ， 单 击 Configure 按钮 ， 
如 图 8-25 所 示 。 
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© 单 击 Add 按钮 ， 添 加 IM Inspect Map; 在 弹出 的 对 话 框 中 ， 单 击 Add 按钮 ， 选 择 相应 的 IM. 
协议 ， 如 图 8-26 所 示 。 
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© 在 service Policy Rules 对 话 框 也 可 以 对 其 他 协议 进行 设置 ， 并 控制 流量 。 例如， 禁止 FTP 
上 传 命令 ， 并 对 下 载 进行 速率 限制 ， 可 以 选中 FIP 复 选 框 ， 单 击 Configure 按钮 ， 在 弹出 的 对 
话 框 中 选中 Use strict FTP 复 选 框 ， 单 击 Add 按钮 创建 一 个 FTP InspectMap， 如 图 8-27 所 示 。 
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图 8-27 创建 FTP Inspect Map 
© 在 打开 的 对 话 框 中 ， 单 击 Details 按钮 ， 选 择 Inspections 选项 卡 ， 单 击 Add 按钮 ， 在 弹出 的 
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对 话 框 中 选中 PUT 复 选 框 ， 禁 止 上 传 功能 ， 如 图 8-28 所 示 。 单 击 OK 按钮 。 
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© 选择 Qos 选项 卡 ， 可 以 配置 该 应 用 的 QoS 属性 ， 如 图 8-29 所 示 . 
lr] 


Add Sendce Folicy Ruta Wisard z Rule Actions, 


C) Enable priority for this flow 
BÍ Enable policing 


Bh Taput policing 


Connited Rate: [9990 ] bita/seerma 
Contern Action: (zemai ] 
PR 


Burst size may be recalculated by the device based on the commited rate 
Burst Size 1500 bytes 
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8-29 配置 禁止 FTP 上传 功能 的 QoS 属性 


[6] 如 果 要 启用 ActiveX 和 Java 过 滤 功 能 ,可 以 选择 Configuration Firewall —Filter Rules 结 点 ， 
添加 Java. ActiveX 或 者 HTTP 过 滤 规 则 ， 如 图 8-30 所 示 。 
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6. 动态 威胁 检测 


动态 威胁 检测 (Dynamic Threat-Detection) 包 括 如 下 三 个 特性 。 

分 ”基本 威胁 检测 (Basic Threat Detection): 对 常见 攻击 进行 报警 并 产生 一 个 报警 日 志 ， 
检测 内 容 包括 Dos 攻击 、 协 议 丢 包 、ACL 禁止 流量 和 其 他 类 型 的 事件 。 

令 “ 扫 描 威胁 检测 (Scanning Threat Detection): 对 突 发 的 攻击 流量 进行 检测 并 且 实 施 动 
态 防 御 ， 定 位 攻击 源 后 ， 通 过 Shun 功能 对 攻击 源 进行 流量 屏蔽 ， 并 且 发 送 报警 
日 志 。 

今 “ 扫描 威胁 统计 (Scanning Threat Statistics): 对 现行 网 络 流量 进行 统计 ， 产 生 
Host/Port/Protocol 的 前 10 名 排名 日 志 。 

配置 动态 威胁 检测 的 方法 是 : 选择 Configuration 一 Firewall 一 Threat Detection 结 点 ， 并 

在 右 窗 格 中 选中 相应 的 复 选 框 或 单 选 按钮 即 可 ， 如 图 8-31 所 示 。 
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8.3383 FWSM 及 虚拟 防火 墙 


Cisco 防火 墙 服务 模块 EWSMD 可 以 安装 在 Cisco Catalyst 6500 系列 交换 机 和 Cisco 7600 
系列 路 由 器 中 ， 部 署 在 企业 外 部 网 的 边缘 分 布 层 ， 制 定 服务 器 流量 策略 ， 提 供 防火 墙 功 能 、 
入 侵 检 测 、 虚 拟 专 用 网 等 。FWSM 是 一 种 高 速 的 、 集 成 化 的 服务 模块 (如 图 8-32 所 示 )， 是 
性 能 最 高 的 防火 墙 解决 方案 ， 每 个 模块 的 吞吐 量 能 够 扩展 到 5 Gbps 以 上 、100 000 CPS, 以 
及 100 万 个 并 发 连接 。 借 助 多 个 模块 ， FWSM 带宽 可 高 达 20 Gbps。 


8-32 Cisco FWSM 模块 


FWSM 采用 了 Cisco PIX 技术 ， 并 且 运 行 Cisco PIX 操作 系统 ， 可 以 消除 安全 漏洞 ， 防 
止 各 种 可 能 导致 性 能 降低 的 损耗 。 这 个 系统 的 核心 是 一 种 基于 自 适应 安全 算法 (ASA) 的 保护 
机 制 ， ed cto tonius aiii pei: 火 墙 功能 。 利 用 ASA. FWSM 可 以 根据 源 地 址 和 目 
的 地 址 ， 随 机 的 TCP 序列 号 、 端 口号 ， 以 及 其 他 TCP 标志 ， 为 一 个 会 话 流 创建 一 个 连接 表 
条 目 。FWSM 可 以 通过 对 这 些 连接 表 条 目 实施 安全 策略 ， 控 制 所 有 输入 和 输出 的 流量 。 

FWSM 的 另 一 个 优点 是 它 集成 在 核心 交换 机 中 ， 可 以 对 数据 中 心 等 业务 提供 很 好 的 保 
护 ， 而 且 不 损失 性 能 。FWSM 也 和 PIX/ASA 设备 一 样 ， 可 以 支持 多 个 虚拟 防火 墙 功能 ， 因 
此 对 于 分 支 机 构 的 安全 连接 ， 通 常 可 以 使 用 核心 交换 机 上 的 虚拟 防火 墙 功能 实现 ， 并 且 这 
种 方案 节约 了 成 本 ， 也 防止 了 多 个 防火 墙 因 管 理 困 难 而 带 来 的 安全 隐患 。 图 8-33 所 示 为 如 
何 部 署 FWSM 和 虚拟 防火 墙 
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8-33 ”部 署 FWSM 和 虚拟 防火 墙 


“264 。 


加 第 8 章 防火 墙 a 
1. 配置 FWSM 


由 于 FWSM 基于 Cisco PIX， 使 用 大 家 非常 熟悉 的 Cisco PIX 管理 界面 ， 并 保持 安全 性 
及 网 络 管理 界面 ， 下 面 简要 介绍 FWSM 的 配置 过 程 。 
从 Catalyst 6500 登录 到 FWSM 模块 


SadnessSW#session slot 3 processor 1 

The default excape charter is Ctrl-^, then x. 

You can also type ‘exit’ at the remote prompt to end the session 
Trying 127.0.0.31 .. Open 


User Access Verification 


Password: 

Type help or `?” for a list of available commands. 
FWSM-enable 

Password:*******x* 

FWSM# 


© 输入 Activation-key 序列 号 ， 激 活 FWSM 模块 ， 然 后 通过 show version 命令 查看 License 
信息 。 
FWSM£show version 


FWSM Firewall Vesion 3.1(3) «system» 
Device Manager version 5.0(1)F 


Compiled on Thu 06-Jul-06 12:44 by dalecki 
FWSM up 10 mins 43 secs 


Hardware: PIX-525, 1024 MB RAM. CPU Pentium III 1000 MHz 
Flash E28F128J3 8 Oxfff00000, 16MB 
BIOS Flash AM29F400B @ Oxfffd8000, 32KB 


0: Int: Not Licensed & rq 5 
1: Int: Not Licensed s Arq 7 


2: Int: Not Licensed irq LE 


Licensed features for this platform: 


Maximum Interfaces :1000 
Inside Hosts : Unlimited 
Failover : Active/Active 
VPN-DES : Enabled 
VPN-3DES-AES : Enabled 
Cut-through Proxy : Enabled 
Guards : Enabled 
URL Filtering : Enabled 
Security Contexts : 20 
GTP/GPRS : Disabled 
VPN Peers : Unlimited 


Serial Number: ********* 

Running Activation Key: 4443944 9X c KOOIOKGRGGIORORGRGG EGREGIE 
Configuration has not been modified since last system restart. 
FWSM# 
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© 在 交换 机 配置 VLAN， 并 将 相应 的 接口 定义 到 相应 的 VLAN 中 。 例如 ， 配 置 的 VLAN 数据 
库 如 表 8-1 所 示 。 


表 8-1 VLAN 数据 库 


Context Inside Inside IP Outside Outside IP. 
Admin Vlan 10 10.74.5.1 Vlan 100. 10.74.5.2 
A | vun | 10.78.5.1 Vlan 101 10.78.5.2 


© 将 VLAN 信息 添加 到 FWSM v. 


Cat65 (config)#firewall multiple-vlan-interface 
Cat65 (config)#firewall module 3 vlan-group 1, 2 
Cat65 (config)#firewall vlan-group 1 10, 11, 100, 101 


2. 配置 虚拟 防火 墙 


FWSM 支持 虚拟 防火 墙 的 模式 ， 可 以 同时 支持 最 多 256 个 虚拟 防火 墙 。 虚 拟 防火 墙 可 
以 在 一 个 单一 的 硬件 平台 上 提供 多 个 防火 墙 实体 。 添加 “虚拟 ”这 个 形容 词 是 为 了 表明 一 
个 单一 的 硬件 实体 可 以 支持 多 个 防火 墙 实体 。 虚 拟 防 火 墙 的 目标 是 让 流 经 某 个 虚拟 防火 墙 
的 用 户 流量 与 流 经 现 有 防火 墙 设备 的 流量 不 存在 明显 的 区 别 。 换 名 话说， 所 有 常规 的 防火 
当 设 备 功 能 及 其 与 外 部 世界 的 互动 ， 例 如 独立 管理 、 独 立 设 置 、 每 个 虚拟 防火 墙 专用 的 系 
统 日 志 服务 器 和 AAA 服务 器 等 ， 以 及 每 个 虚拟 防火 墙 的 各 种 内 部 组 件 (包括 独立 路 由 表 、 
转换 数据 库 、ACL 等 )， 都 将 被 虚拟 化 。 

下 面 简要 介绍 FWSM 在 虚拟 防火 墙 模 式 的 配置 方法 。 

Q 将 FWSM 工作 转换 为 虚拟 防火 墙 模式 .转换 后 ， 系 统 会 提醒 需要 重启 系统 . 


SadnessFW (config)# mode multiple 

WARNING: This command will change the behavior of the device 
WARNING: This command will initiate a Reboot 

Proceed with change mode? [confirm] 

Convert the system Configuration? [confirm] 


© 重新 启动 系统 后 ， 可 以 通过 show mode 命令 查看 防火 墙 当 前 的 工作 模式 。 


SadnessFW# show mode 
Security context mode: multiple 


© 按照 需求 创建 多 个 Context. 创建 Context 时 必须 先 创建 Admin Context， 然 后 再 创建 其 他 的 


Context。 


FWSM(config)£admin-context admin 
FWSM(config)scontext admin 
FWSM(config-ctx)£allocate-interface vlanlO 
FWSM(config-ctx)£allocate-interface vlanl100 
FWSM(config-ctx)4config-url disk:/admin.cfg 
FWSM(config-ctx)£context a 
FWSM(config-ctx)4sallocate-interface vlanll 
FWSM(config-ctx)f£allocate-interface vlanl01 
FWSM(config-ctx)4config-url disk:/a.cfg 
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O 对 于 每 个 Context， 可 以 将 其 视 为 一 个 虚拟 的 防火 墙 ， 并 可 以 进行 独立 的 控制 。 


FWSM (config)# changeto context admin 
FWSM/admin(config)£ firewall transparenn 
FWSM/admin(config)f£int vlan 10 
FWSM/admin(config-if)£nameif inside 

INFO: Security level for "inside" set to 100 by default 
FWSM/admin(config)f£int vlan 100 
FWSM/admin(config-if)£nameif outside 

INFO: Security level for "inside" set to 0 by default 


@ 对 于 每 个 Context， 可 以 配置 打开 的 HTTP 服务 ， 用 于 ASDM 访问 。 


FWSM (config)# changeto context admin 
FWSM/admin(config)* interface BVI 1  // 将 桥接 口 作为 管理 接口 
FWSM/admin (config-if)#ip address 192.168.1.1 255.255.255.0 


FWSM/admin 
FWSM/admin 


(config)# http server enable 
(config)f£ http 192.168.1.0 255.255.255.0 inside 


FWSM /admin (config)£enable password Cisco 


如 果 是 一 台 PIX/ASA 则 按照 如 下 方式 配置 context. 


SadnessASA (config)#admin-context admin 


SadnessASA 
SadnessASA 
Context 

SadnessASA 
SadnessASA 
SadnessASA 
SadnessASA 
SadnessASA 


Q 在 AsDM 中 ， 
加 


(config)#context admin 
/admin (config-ctx)#allocate-interface m0/O  // 将 管理 接口 加 入 到 


/admin (config-ctx)# interface m0/0 

/admin (config-if)# ip address 192.168.1.1 255.255.255.0 
/admin (config)# http server enable 

/admin (config)£ http 192.168.1.0 255.255.255.0 inside 
/admin (config)#enable password Cisco 


也 可 以 对 多 个 Context 进行 管理 ， 如 图 8-34 所 示 。 


Cisco ASDM 6.0 for ASA - Demo mode | active context: context1 


.Devcalat — aax amena 
taui BS Connect. E Device Dashboard [I8 Intrusion Prevention | 


® 10.1.23 


Device Information 


Y Locslhost:55000 [emo pm 


E :ystm 
M Contexts 


Host Mane: contextl 


[S sanin 

Bem ASA Version: 8.0 (0)242 Device Uptime: 4d dh 12a 33s 

[D context2 ASIM Version: 6.0(2) Device Iype: ASA 5520 
Firewall Mode: Routed Context Mode: Multiple 
Total Flash: 64 NB Total Memory: 512 NB 


8-34 ”管理 多 个 Context 


Q 选择 System Context Management 结 点 ， 可 以 创建 或 删除 Context， 并 将 不 同 的 接口 加 入 到 
Context 中 ， 如 图 8-35 所 示 。 
O 对 于 每 个 Context， 与 原 有 的 单 模式 下 的 PIX/ASA/FWSM 一 样 ， 可 以 通过 ASDM 管理 ， 如 


图 8-36 所 示 。 
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模式 ， 还 需要 为 每 个 Context 配置 静态 NAT, Aul 8-37 所 示 。 


ooo 


cisco 
ona Configuration > Firewall NAT. Ri 
LIU S Connect via- A f 4 XE Qr Briga au- ÉN 
n Filter: 
A Original 
D - m aes ee e 一 
Y IP Address Objects 


Add Static NAT Rule | 9] 


EB Comm ) Cms ) 


图 8-37 ”为 Context 配置 静态 NAT 


拘 点 评 与 拓展 : 通过 安装 Cisco PIX/ASA 系列 防火 墙 ， 可 以 有 效 地 实施 防 病毒 、 入 
侵 检测 、 远 程 访问 等 功能 ， 并 且 Cisco 提供 了 基于 图 像 的 ASDM 管理 工具 ， 可 以 方便 地 监 
控 和 配置 系统 。 同 时 ， 在 Catalyst 6500 上 支持 的 FWSM 模块 ， 也 提供 了 一 个 集中 化 的 防火 
墙 控 制 管理 体系 ， 通过 Context 可 以 将 一 台 防 火 墙 虚 拟 成 多 台 设备 使 用 ， 并 且 Cisco ASA 作 
为 UTM 的 代表 产品 ， 有 效 地 节约 了 成 本 。 关 于 ASA 的 IPS 和 VPN 功能 ， 将 在 后 续 的 章节 
详细 介绍 。 


8.4 微软 1SA 防火 墙 


应 用 实例 导航 : 利用 ISA Server 封锁 即时 通信 软件 


Sadness 公司 某 员工 在 工作 时 间 通 过 QQ、MSN 等 IM 软件 将 公司 的 敏感 信息 传 出 ， 公 

司 希望 通过 有 效 的 方式 杜绝 员工 在 工作 时 间 使 用 这 类 IM 软件 ,但 是 ISA Server 2004 主要 用 

于 国外 ， 对 中 国 常 用 的 QQ 等 IM 软件 并 没有 建立 相应 的 访问 规则 ， 如 图 8-38 所 示 。 同 时 
公司 还 希望 禁止 员工 在 上 班 时 间 下 载 BT 文件 和 对 某 些 网 站 进行 访问 。 
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8-38 ISA 2004 所 支持 的 IM 协议 


(1) ISA Server 2004 的 安装 方法 ; 

(2) 配置 ISA 的 访问 控制 ， 定 义 允 许 、 禁 止 和 URL 过 滤 的 规则 ; 
(3) 向 外 部 网 络 发 布 内 部 服务 器 ， 人 允许 外 部 网 络 的 访问 ; 

(à) 提高 访问 Web 服务 器 的 速度 ， 配 置 Web 数据 的 缓冲 。 


ISA (Internet Security and Acceleration) Server 2004 是 高 级 应 用 层 防 火 墙 、 虚 拟 专用 网 络 
(VPN) 和 Web 缓存 的 解决 方案 ， 它 使 客户 能 够 通过 提高 网 络 安全 和 性 能 ， 轻 松 地 从 现 有 
的 IT 投资 获得 最 大 收益 。ISA Server 2004 有 两 种 可 用 版 本 : 标准 版 和 企业 版 。 

ISA Server 2004 为 各 种 类 型 的 网 络 提供 了 高 级 保护 、 易 用 性 以 及 快速 、 安 全 的 访问 。 
它 尤 其 适合 于 保护 需要 为 不 同 地 域 设置 多 重 防火 墙 阵列 的 大 型 企业 网 络 ， 实 现 运行 
Microsoft 客户 端 和 服务 器 应 用 程序 ， 例 如 Microsoft Office. Microsoft Outlook Web 访问 
(OWA), Microsoft Internet Information Services (IIS). Office SharePoint Portal Server、 路 由 和 
远程 访问 服务 、 活 动 目录 的 目录 服务 等 ， 以 及 其 他 更 多 的 Microsoft 应 用 系统 、 服 务 器 和 
服务 。 

ISA Server 2004 包含 一 个 功能 完善 的 应 用 层 感 知 防火 墙 ， 有 助 于 保护 各 种 规模 的 企业 
免 遭 外 部 和 内 部 威胁 的 攻击 。ISA Server 2004 对 Internet 协议 (例如 HTTP) 执 行 深 入 检查 ， 
这 使 它 能 检测 到 许多 传统 防火 墙 检 测 不 到 的 威胁 .ISA Server 2004 的 集成 防火 墙 和 VPN 体 
系 结构 支持 对 所 有 VPN 通信 进行 有 状态 过 滤 和 检查 。 该 防火 墙 还 为 基于 Microsoft 
Windows Server 2003 的 隔离 解决 方案 提供 了 VPN 客户 端 检 查 ， 帮 助 保护 网 络 免 遭 通过 
VPN 连接 进入 的 攻击 。 此 外 ， 全 新 的 用 户 界面 、 向 导 、 模 板 和 一 组 管理 工具 可 以 帮助 管理 
员 避 人 免 常 见 的 安全 配置 错误 。 


8.4.1 安装 1ISA Server 2004 


与 一 般 软件 类 似 ， 安 装 ISA Server 2004 的 方法 很 简单 ， 其 过 程 如 下 。 
将 Microsoft ISA Server 2004 安装 光盘 插入 光驱 ， 单 击 【 安 装 ISA Server 2004] 链接 ， 如 


"2959: 


加 第 8 章 防火 墙 a 
图 8-39 所 示 。 
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8-39 ISA Server 2004 安装 界面 
@ 打开 Microsoft ISA Server 2004 安装 向 导 后 ， 接 受 许可 协议 并 输入 安装 序列 号 等 信息 ， 单 击 


E 
geen Bicrosoft ISA Server 2004 MEWA 
J 

Ei Microsoft ISA Server 
警 当 :此 程序 委 版 权 法 和 国际 条 约 的 保护 。 

E 要 继 经 ， 请 单 而“ 下 一 步 ”。 

| 

rere [pep] ww | 


8-40 安装 ISA Server 2004 


© 根据 ISA 服务 器 的 部 署 方式 选择 安装 方案 ， 如 图 8-41 所 示 。 

O 选择 内 部 网 络 地 址 范围 ， 单 击 【 更 改 】 按 钮 可 以 添加 内 部 网 络 地 址 范围 ， 完 成 后 单 击 【 下 
一 步 〗 按 钮 ; 系统 会 询问 防火 墙 客户 端 连接 设置 ， 如 果 局 域 网 中 安装 了 早期 的 ISA 防火 墙 
客户 端 ,或 者 运行 Windows 98/ME/NT， 需 要 选中 【允许 非 加 密 的 防火 墙 客户 端 连接 】 复 选 
框 。 配 置 完 成 后 单 击 【下 一 步 〗 按 钮 ， 如 图 8-42 所 示 。 

O 系统 会 提示 一 些 服务 将 会 被 重新 启动 或 禁用 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 8-43 LS 
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8-43 ”安装 过 程 中 的 服务 警告 
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Q 安装 完成 后 ， 将 进入 ISA Server 2004 的 管理 界面 ， 如 图 8-44 所 示 。 
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8-44 ISA Server 2004 管理 界面 


8.4.2 配置 1SA 访问 控制 


为 了 从 功能 角度 描述 在 被 定义 的 网 络 间 何 种 通信 是 被 允许 的 ，ISA Server 2004 使 用 了 
一 组 三 个 规则 列表 的 集合 。 
今 “ 网 络 规则 : 此 列表 定义 并 描述 了 网 络 的 拓扑 结构 。 这 些 规则 用 于 决定 两 个 网 络 实 


体 间 是 否 具 有 路 由 关系 ， 以 及 何 种 路 由 关系 被 定义 (路 由 还 是 NAT)。 


当 网 络 实体 


间 没 有 配置 任何 关系 , ISA Server 将 丢弃 两 个 网 络 间 的 所 有 通信 数据 。 正 确定 义 网 


络 对 象 和 它们 之 间 的 路 由 关系 对 于 ISA 2004 显得 尤为 重要 。 


系统 策略 规则 : 此 列表 包含 了 30 条 ISA Server 2004 预定 义 的 、 应 用 于 


访问 策略 。 因 此 ， 它 们 控制 着 ISA Server 本 身 “ 从 /到 ”的 通信 ， 并 启 


F 本 地 主机 的 
用 诸如 验证 、 


网 络 诊断 、 日 志 、 远 程 管理 等 功能 。 这 些 规则 只 是 “允许 ”规则 ， 可 以 启用 或 者 


禁用 这 些 规则 ， 或 者 对 其 中 的 一 些 规则 的 属性 进行 少量 的 修改 。 
防火 墙 策略 规则 :此 列表 包含 了 自 定义 的 所 有 规则 。 这 是 一 个 经 过 提 


FE 序 的 简单 列 


表 ， 包 含 了 两 种 可 能 的 规则 : 访问 规则 和 发 布 规则 。 在 此 列表 的 最 后 包含 了 一 条 


预定 义 的 默认 规则 : Deny 4 ALL(Deny ALL users use ALL protoco; 


ls from ALL 


networks to ALL networks)， 拒 绝 所 有 用 户 发 起 的 从 所 有 网 络 到 所 有 网 络 的 所 有 协 
议 的 访问 。 这 个 默认 规则 不 能 修改 或 者 删除 。 所 以 ， 任 何 允 许 或 者 阻止 的 通信 都 


由 ISA Server 2004 的 一 条 明确 的 规则 的 来 完成 。 


ISA Server 2004 处 理 规则 的 过 程 如 下 。 
(1) ISA Server 检查 网 络 规则 以 确定 两 个 网 络 实体 间 是 否定 义 了 路 由 关系 ， 如 果 源 网 


络 与 目的 网 络 之 间 定 义 了 路 由 关系 ，ISA Server 2004 将 进一步 处 至 


拒绝 。 


客户 的 出 站 请 求 ， 和 否则 


人 
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(2) ISA Server 2004 按 顺序 检查 系统 策略 规则 和 防火 墙 策略 规则 。 如 果 某 个 系统 或 者 
防火 墙 策略 规则 允许 了 此 请 求 ，ISA Server 2004 将 进一步 处 理 出 站 请 求 ， 否 则 拒绝 。 

(3) ISA Serve 2004 再 次 检查 网 络 规则 以 确定 数据 包 的 路 由 方式 是 路 由 还 是 NAT， 如 
果 是 Web Proxy 客户 端 请 求 对 象 ，ISA Server 2004 也 检查 Web 链 路 规则 ， 以 确定 请 求 如 何 
被 处 理 。 

1. 定义 允许 规则 

对 于 内 部 网 络 的 用 户 ， 需 要 访问 外 部 网 络 的 某 些 服务 (例如 Web 和 FTP)， 这 就 需要 定 
义 一 些 允 许 规则 ， 其 配置 操作 如 下 。 

完成 ISA Server 2004 安装 后 ,打开 ISA 管理 控制 台 。 在 该 窗口 左 侧 的 控制 树 中 ,选择 Sadness 

ISA 一 【防火 墙 策略 】〗 结 点 ,可 以 在 右 侧 窗 格 中 看 到 系统 的 一 些 防火 墙 策 略 ， 如 图 8-45 所 示 。 
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8-45 ISA 防火 墙 策略 


O 在 窗口 左 侧 的 控制 树 中 ， 选 择 【 阵 列 】 一 Sandness ISA 一 【配置 】 一 【网 络 】 结 点 ， 可 以 在 
右 侧 窗 格 中 看 到 ISA Server 2004 防火 墙 连接 示意 图 ， 如 图 8-46 所 示 。 
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图 8-46 查看 防火 墙 转 接 示意 图 
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O i Sadness ISA 【防火 墙 策略 】 结 点 ， 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【新建 一 【 访 
间 规 则 】 命 令 ， 打 开 新 建 访问 规则 向 导 。 输入 访问 规则 的 名 称 ， 单 击 【 下 一 步 〗 按 钮 ; 在 
【规则 操作 】 界 面 中 ， 选 中 【人 允许】 单 选 按钮 并 单 击 【下 一 步 】 按 钮 ， 如 图 8-47 所 示 。 
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8-47 创建 访问 规则 


O 在 【协议 ] 界面 中 ,选择 添加 HTTP、FTP 等 此 规则 应 用 到 的 协议 ， 配 置 完成 后 ， 单 击 【下 
一 步 】 按 钮 ， 如 图 8-48 所 示 。 
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图 8-48 选择 应 用 规则 的 协议 


O 在 【访问 规则 源 ] 界面 中 ， 系 
按钮 ， 如 图 8-49 所 示 。 


统 将 询问 信息 的 指定 来 源 ， 选 择 【 内 部 〗 并 单 击 【 下 一 步 】 


Ọ 在 【访问 规则 日 标 】 界面 中 ， 系 统 将 询问 信息 的 目的 地 址 ， 选 择 【 外 部 】〗 并 单 击 【 下 一 步 】 


按钮 ， 如 图 8-50 所 示 。 


Q 在 【用 户 集 ] 界面 页 中 ， 选 择 使 用 此 规则 的 用 户 集 ， 仅 对 具有 权限 的 用 户 提供 访问 ， 确 定 


后 单 击 【下 一 步 】 按 钮 。 
正确 ， 单 击 【完成 】 了 按钮 ， 如 


完成 新 建 访问 规则 向 导 后 ， 将 显示 向 导 的 配置 信息 ， 


如 果 配 置 均 
图 8-51 所 示 。 
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图 8-49 选择 此 规则 应 用 的 源 网 络 
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8-50 选择 应 用 此 规则 的 目标 网 络 


EEA E 


正在 完成 新 建 访问 规则 向 导 
ilemet securitya Égiurunr NE WMU «3. M DIAN 的 


E 
MEL 
je 


JP pag omms roro RIST BARI 


E 
: 
am 
ENENHIAT afi 
| | 
要 关闭 向 导 ， 单 古 “ 完 或 ”。 


isyo x& ] ws | 


8-51 选择 用 户 集 


s 93882 PAI a 
© 完成 后 返回 ISA Server 2004 控制 台 窗 口 , 单 击 【 应 用 】 按 钮 即 可 使 规则 生效 , 如 图 8-52 所 示 。 
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图 8-52 ”应 用 新 建 的 访问 规则 
O 对 于 访问 规则 ， 还 可 以 进行 详细 的 定义 。 选择 刚 才 定义 的 访问 控制 条 目 ， 右 击 ， 在 弹出 的 
快捷 菜单 中 选择 【属性 】 命 令 ， 在 弹出 的 属性 对 话 框 中 ， 定 义 这 条 规则 的 生效 时 间 ， 如 
图 8-53 所 示 。 


EN 


r1 
d FE AIG Guess TS 
gnenn m 


[mE - ING 54 
|& ARS JOREIEZ ERIN EE UN 


EU] 
12343287 v M 

Daa vo I 
c Ra-aMURRR 


IN 
in 


sex EEIT 


ERAD A83 2 CAM 
Z&.zà 0» nam "5m 
D 
CC RSBERTERRITEEREE TREIBER, 
Ewe 
en 
E 
En 
E 
E 
BEA 
. a" PORE 
do d LE NE 


图 8-53 ”设置 访问 规则 属性 
i i a 


a 网 络 安全 大 全 a 

2. 定义 禁止 规则 

通常 访问 规则 需要 包含 内 网 到 外 网 的 HTTP, FTP, Mail, IM 等 常规 应 用 ,并且 管理 员 
还 可 以 定义 各 种 特殊 需求 。 除 了 允许 规则 外 ， 公 司 还 可 以 根据 实际 情况 ， 禁 止 某 些 服务 的 
访问 ， 例 如 禁止 使 用 FTP 上 传 文件 、 工 作 时 间 禁 止 P2P 和 IM 等 ， 均 可 以 通过 访问 控制 
实现 。 

在 应 用 实例 导航 中 ，Sadness 公司 希望 禁止 员工 在 工作 时 间 通 过 QQ、MSN 等 IM 软件 
将 公司 的 敏感 信息 传 出 。 实 现 这 一 功能 需要 定义 禁止 规则 ， 具 体操 作 步 又 如 下 。 
@ i Sadness ISA 一 【防火 墙 策略 〗 结 点 ， 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【新 建 〗 一 【 访 

问 规则】 命令 ， 打 开 新 建 访问 规则 向 导 .。 

在 弹出 的 对 话 框 中 输入 规则 名 称 ， 单 击 【 下 一 步 〗 按 钮 ;在 【规则 操作 】 界 面 中 ， 选 择 【 拒 

绝 】 单 选 按钮 并 单 击 【 下 一 步 】 按 钮 ， 如 图 8-54 所 示 。 


欢迎 使 用 新 建 访问 规则 向 导 
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8-54 ”创建 访问 规则 


© 在 【协议 1 界面 中 ， 单 击 【 添 加 】 按钮 ， 从 弹出 的 对 话 框 中 选择 相应 协议 。 若 【协议 】 了 列 
表 框 中 没有 需要 的 协议 (例如 QQ)， 可 以 选择 【新 建 〗3 一 【协议 】 选 项 来 创建 一 个 新 协议 ， 
如 图 8-55 所 示 。 
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8-55 ”创建 新 协议 
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O 在 【新建 协议 定义 向 导 】 对 话 框 中 ， 将 协议 名 称 定义 为 QQ， 单 击 【 下 一 步 】 按钮 ， 如 
图 8-56 所 示 。 
四 
欢迎 使 用 新 建 协议 定义 向 导 


E 
此 向 导 和 帮助 您 创建 一 个 新 的 协议 定义 。 协 议定 义 指定 
E REESE ERSTES 


E 协议 定义 名 称 E): 
| 
— M 


KE—E 取消 | 


8-56 ”输入 协议 名 称 


O 在 【首要 连接 信息 】 界 面 中 ， 单 击 【新建 】 按 钮 定义 端口 范围 ， 在 【新 建 /编辑 协议 连接 】 
对 话 框 中 ,将 【协议 类 型 〗 下 拉 列 表 框 设置 为 UDP，【 端 口 范围 】 为 从 4000 到 4060，【 方 
向 〗 下 拉 列 表 框 设置 为 【发 送 接收 〗， 如 图 8-57 所 示 ， 单 击 【 确 定 〗 按 钮 ， 单 击 【 下 一 步 】 
按钮 。 
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图 8-57 定义 协议 使 用 的 端口 


QO 在 【辅助 连接 】 界面 中 ， 选 择 不 使 用 辅助 连接 ， 如 图 8-58 所 示 。 
Q xu pes ue. miei QQ 等 自 定义 的 协议 ， 如 图 8-59 所 示 。 
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8-59 ”添加 规则 应 用 到 的 协议 


O 利用 禁止 签名 来 实现 QQ 过 滤 。 在 相应 的 防火 墙 策略 规则 上 右 击 ， 在 弹出 的 快捷 菜单 中 选 
择 【 配 置 HITP] 命令 ， 如 图 8-60 所 示 。 


e [mme aux 


m———Ó—ÁM 


Ince 


了 va eem 


ILE 


图 8-60 选择 【配置 】HTTP 命令 
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PECTE SEPT a 
O 在 弹出 的 【为 规则 配置 HITP 策略 】 对 话 框 中 ， 选 择 【 签 名 了 选项 卡 ; 单 击 【添加 了】 按钮 
在 弹出 的 对 话 框 中 设置 [名称 了 下 拉 列 表 框 为 QQ, 【查找 范围 1 下 拉 列 表 框 为 [请求 URL]， 
【签名 】 文 本 框 为 tencent.com， 如 图 8-61 所 示 。 


axi 
第 规 | 方法 | 扩展 名 | 头 83 | 
阻止 包括 这 些 等 名 的 内 容 O: 


字 节 范围 dés 
Ap: p—— ||e so 
ao: pa —— | | C ciet 


D» ] x» | 


8-61 配置 QQ 签名 


Q 对 于 MSN 过 滤 ， 可 以 设置 【查找 范围 】 为 【请 求 头 】， [HTTP k] X} User-Agent, K4% 
名 】 为 MSN Messenger; 如 果 是 Windows Messenger， 则 【签名 ] ?j MSMSGS. 

@ 对 于 BT 过 滤 ， 可 以 设置 【查找 范围 】 为 【请 求 头 】，【HTTP X] 7j EUser-Agent 】, [5 
名 】 了 为 BitTorent， 并 且 在 【为 规则 配置 HTTP 策略 〗 对 话 框 中 ， 选 择 【 扩 展 名 】 选 项 卡 ， 
以 阻止 .torrent 文件 ， 如 图 8-62 Prom. 
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图 8-62 阻止 BT 服务 
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3. EX URL 过 滤 规 则 


为 了 保证 网 络 的 安全 ， 有 时 也 需要 过 滤 .exe 文件 , 防止 病毒 或 者 蠕虫 等 文件 的 执行 ; 同 
时 为 了 优化 网 络 流量 ， 可 以 选择 禁止 .swf、.wmv、.rm 等 视频 文件 。 实 现 上 述 功能 的 操作 步 
又 如 下 。 
(1 选择 【防火 墙 策 略 〗 界 面 右 侧 的 【工具 箱 】〗 选 项 卡 中 的 【网 络 对 和 象 〗， 单 击 【 新 建 〗 按 钮 
并 选择 【URL E] AA, wE 8-63 所 示 。 
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图 8-63 新 建 URL 集 
© 在 [新 建 URL 集 规则 元 素 】 对 话 框 中 , 输入 URL 集 的 名 称 , 并 选择 相应 的 URL， 如 图 8-64 
所 示 。 
RES 
mi pmm 
Qi e 
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8-64 ”输入 协议 名 称 
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@@ 将 这 些 配 置 应 用 到 相应 的 过 滤 选 择 中 ， 并 根据 前 述 的 配置 选择 源 地 址 为 【内 部 了 ， 目 的 地 
址 为 【外 部 〗】， 最 后 通过 属性 对 话 框 配置 该 过 滤 的 有 效 时 间 为 工作 时 间 即 可 。 


8.4.3 ”发布 服务 器 


默认 情况 下 ， 由 于 ISA Server 2004 的 保护 机 制 ， 外 部 网 络 无 法 访问 内 部 网 络 的 服务 器 ， 
因此 需要 对 内 网 服务 器 进行 发 布 。 下 面 以 发 布 Web 服务 器 为 例 介绍 具体 的 操作 步骤 。 
@@ ti Sadness ISA > 【防火 墙 策略 】 结 点 ， 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【新 建 】- [Web 
服务 器 发 布 规则 了 命令 ， 如 图 8-65 所 示 ， 打 开 新 建 Web 发 布 规则 向 导 。 
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8-65 新建 Web 服务 器 发 布 规则 


O 在 新 建 Web 发 布 规则 向 导 欢迎 页 面 中 ， 设 置 规则 的 名 称 ， 单 击 【 下 一 步 〗 按 钮 ， 在 【请 选 
择 规则 操作 】 界 面 中 ， 选 中 【允许 】 单 选 按钮 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 8-66 所 示 。 
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图 8-66 人 允许 发 布 Web 服务 器 
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O 在 【请 定义 要 发 布 的 网 站 】 界 面 中 ， 在 【计算 机 名 称 或 IP 地 址 了】 文本 框 中 输入 Web 服务 
器 计算 机 的 IP 地 址 ， 将 【路 径 】 设 置 为 /*， 如 图 8-67 所 示 ， 单 击 【 下 一 步 】 按 钮 。 
x 
请 定义 要 发 布 的 | 


网 站 
请 指定 网 站 所 在 的 计算 机 Web 服务 器 )。 您 可 以 发 布 整个 网 站 ， 或 者 限制 
用 户 只 能 访问 指定 的 文件 夹 。 


计算 机 名 称 或 IP 地址 Ww: [10. T4. 49. 120 meo... | 
T 转发 原始 主机 头 而 不 是 上 面 指定 的 值 EB)。 


和 天 的 名 称 要 包括 文件 夹 中 的 所 有 文件 和 子 文件 夹 ， 请 
n : folder/*. 


BED: 四 
基于 您 的 选择 ， 格 发 布下 列 网 站 : 
站 点 : [wcto:7710: 74:48: 1207* 


在 规则 的 属性 页 ，“ 桥 接 ” 选 项 卡 设置 请 求 应 该 被 重 定向 到 的 端口 。 


- 
Æ 8-67 输入 Web 服务 器 的 IP 地 址 
O 在 【公共 名 称 细节 】 界面 中 ， 在 【接受 请 求 】 下 拉 列 表 框 中 选择 【此 域名 (在 以 下 输入 )】， 
在 【公共 名 称 】 文 本 框 中 输入 Web 站 点 的 主机 头 名 (例如 ，www.sadness.com)， 在 【路 径 ( 可 
选 )〗】 文 本 框 中 输入 /*， 如 图 8-68 所 示 ， 单 击 【 下 一 步 〗 按 钮 。 
E 


公共 名 称 网 节 
ipressos (FQDN) 或 用 户 要 输入 的 、 连 接 到 已 发 布 站 点 的 IP 地 


接受 请 求 QD: 此 域名 在 以 下 输入 ) -| 
只 有 对 此 公共 名 称 或 IP 地 址 的 请 求 将 被 转发 到 发 布 的 站 点 ， 例 如 

www.microsoft. com. 

Si QD: frre. sadness. cm | 
eG GIO QD: p 


8-68 设置 Web 服务 器 公共 域名 


人 @ 在 [选择 Web 侦 听 器 】 界 面 中 ， 选 择 需要 的 Web 侦 听 器 ; 如 果 没有 ， 单 击 【 新 建 了 按钮 创 
建 一 个 Web 侦 听 器 ， 并 输入 Web 侦 听 器 的 名 称 ， 如 图 8-69 所 示 。 

Q 在 [IP 地址] 界面 中 ， 选择 需要 监听 的 他 地 址 为 外 部 网 络 的 所 有 他 地 址 ， 单 击 【 下 一 步 】 
按钮 ;在 【端口 指定 〗 界 面 中 ， 选 中 【启用 HTTP] 复 选 框 ， 指 定 端口 为 80， 如 图 8-70 
所 示 。 
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8-69 ”创建 Web 侦 听 器 


新 建 web 硕 听 器 定义 向 导 


Ir 地 址 
ANAREN IES 服务 器 上 网 络 关联 的 所 有 IP 地 址 ， 或 者 您 可 
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8-70 ”指定 监听 的 IP 地址 和 端口 


Q 在 [选择 Web 个 听 器 1 界面 中 ,选择 刚 配置 好 的 Web 侦 听 器 ， 单 击 【 下 一 步 了 按钮 ; 在 【用 
户 集 】 界 面 中 选择 用 户 集 ， 如 图 8-71 所 示 。 
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此 规则 应用 于 来 自 下 列 用 户 集 的 请 求 - 
所 有 用 户 


EUN 
8-71 选择 Web 侦 听 器 和 用 户 集 
O 完成 配置 后 ， 将 Web 服务 器 的 默认 网 关 设置 为 ISA Server 2004 服务 器 的 用 于 连接 到 内 部 
FUA IP 地 址 即 可 。 


8.4.4 缓冲 Web 数据 


ISA 防火 墙 还 可 以 用 来 缓冲 Web 数据 ， 从 而 可 提高 访问 Web 服务 器 的 速度 。 其 配置 方 
式 如 下 。 


@@ 选择 【配置 〗- 【缓存 】 结 点 ， 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【新 建 】3 一 【缓存 规则 ] 
命令 ， 如 图 8-72 所 示 。 
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图 8-72 ”新 建 缓存 规则 
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a sE 防火 墙 a 
O 输入 规则 名 ， 并 将 缓存 规则 目标 应 用 的 网 络 实体 定义 为 【外 部 〗， 如 图 8-73 所 示 。 
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8-73 设置 目标 


O 在 [内 容 检索 〗 界 面 中 ， 指 定 缓存 中 存储 对 象 被 请 求 时 的 检索 方式 。 接 受 默认 设置 ， 单 击 
【下 一 步 〗 按 钮 ， 如 图 8-74 所 示 。 


新 缓存 规则 向 导 [x] 
内 容 检索 
请 指定 缓存 中 存 贮 对 象 被 请 求 时 的 检索 方式 . 
从 缓存 中 检索 请 求 的 对 象 : 


[3 EE E 
C 加 果 缓 存 中 存在 对 象 的 任何 版 本 。 加 果 不 存在 ， 则 传递 请 求 到 服务 器 QD. 


c PROT PTENRMENNE. 如 果 不 存在 ， 则 丢弃 请 求 (下 传递 请 求 到 服务 
W. 


mm | 
图 8-74 ”选择 检索 方式 


O 在 【月 存 内 容 】 界 面 中 ， 指 定 检索 的 内 容 是 否 存储 在 缓存 中 。 接 受 默认 设置 ， 单 击 【 下 一 
步 〗 按 钮 ;在 【缓存 高 级 配置 〗 界 面 中 ， 设 置 最 大 的 缓存 对 象 以 及 是 否 缓存 SSL 响应 ， 如 
8-75 所 示 ， 设 置 完 毕 后 单 击 【 下 一 步 〗 按 钮 . 
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图 8-75 ”选择 缓存 内 容 和 缓存 高 级 配置 
O 在 [HTTP 缓存] 界面 中 ,指定 是 否 启用 HTIP 缓存 ， 单 击 【 下 一 步 】 按 钮 ; 在 【FTP 缓存 】 
界面 中 ， 指 定 是 否 启用 FTP 缓存 ， 如 图 8-76 所 示 ， 设 置 完 毕 后 单 击 【 下 一 步 〗】 按 钮 。 
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8-76 选择 启用 HTTP 缓存 和 FTP 缓存 


O 完成 新 缓存 规则 向 导 后 ， 检 查 设置 是 否 正确 ， 单 击 【 完 成 了 按钮 。 单 击 【应 用 了 按钮 保存 
修改 和 更 新 防火 墙 策略 。 这 时 ISA Server 2004 会 弹出 一 个 提示 框 ， 选 中 【保存 更 改 ， 并 重 
启动 服务 了 】 单 选 按钮 ， 然 后 单 击 【确定 】 按 钮 即 可 。 
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8.5 Linux 防火 墙 


通常 ，Cisco PIX/ASA 和 Microsoft ISA Server 等 解决 方案 的 部 署 将 使 用 大 量 的 预算 。 对 
于 一 些 刚 刚 起 步 的 小 型 企业 而 言 ， 使 用 这 样 的 方案 成 本 过 于 高 昂 ， 它 们 需要 一 种 相对 廉价 
的 解决 方案 ， 基 于 Linux 的 防火 墙 是 一 个 很 好 的 选择 。 


8.5.4 Linux 防火 墙 简介 


从 Linux 1.1 内 核 开 始 , Linux 就 有 具有 包 过 滤 功 能 了 , 在 2.0 内 核 中 采用 Ipfwadm 来 操作 
内 核 包 过 滤 规 则 。 之 后 ,在 2.2 内 核 中 采用 了 大 家 并 不 陌生 的 Ipchains 来 控制 内 核 包 过 虑 规 
则 。 现 在 最 新 的 Linux 内 核 版 本 是 2.4.1， 在 2.4 内 核 中 不 再 使 用 Ipchains， 而 是 采用 一 个 全 
新 的 内 核 包 过 滤 管 理工 具 一 一 Iptables。 这 个 全 新 的 内 核 包 过 滤 工 具 将 使 用 户 更 易于 理解 其 
工作 原理 ， 更 容易 使 用 ， 当 然 也 具有 更 为 强大 的 功能 。 

Iptables 只 是 一 个 管理 内 核 包 过 滤 的 工具 ， 利 用 该 工具 可 以 加 入 、 插 入 或 删除 核心 包 过 
滤 表 格 ( 链 ) 中 的 规则 。 实 际 上 真正 来 执行 这 些 过 滤 规 则 的 是 Netfilter(Linux 核心 中 一 个 通用 
架构 ) 及 其 相关 模块 (如 Iptables 模块 和 NAT 模块 )。 下 面 介绍 Netfilter 的 工作 原理 。 


1. Netfilter 的 工作 原理 


Netfilter 是 Linux. 核心 中 一 个 通用 架构 ， 它 提供 了 一 系列 的 “ 表 ” 每 个 表 由 若干 “ 链 ” 
组 成 ， 而 每 条 链 由 一 条 或 数 条 “规则 ”组 成 。 可 以 这 样 来 理解 ，Netfilter 是 表 的 容器 ， 表 是 
链 的 容器 ， 而 链 又 是 规则 的 容器 。 
系统 默认 的 表 为 Filter( 过 滤 ), 该 表 中 包含 了 INPUT( 输 入 ) FORWARD( 转 发 ) 和 OUTPUT 
(和 输出) 三 条 链 。 每 条 链 中 可 以 有 一 条 或 数 条 规则 ， 每 条 规则 都 是 这 样 定义 的 :“ 如 果 数 据 包 
头 符合 这 样 的 条 件 ， 就 这 样 处 理 这 个 数据 包 ”。 当 一 条 数据 包 到 达 一 条 链 时 ， 系 统 就 会 从 第 
一 条 规则 开始 检查 ， 看 是 否 符合 该 规则 所 定义 的 条 件 ， 如 果 满 足 ， 系 统 将 根据 该 条 规则 所 
定义 的 方法 处 理 该 数据 包 ; 如 果 不 满足 则 继续 检查 下 一 条 规则 。 最 后 ， 如 果 该 数据 包 不 符 
合 该 链 中 任意 一 条 规则 的 话 ， 系 统 就 会 根据 该 链 预 先 定 义 的 策略 来 处 理 该 数据 包 。 
当 有 数据 包 进 入 系统 时 ， 系 统 首 先 根据 路 由 表决 定 将 数据 包 发 给 哪 条 链 。 可 能 有 三 种 
情况 。 
令 “ 如 果 数 据 包 的 目的 地 址 是 本 机 ， 则 系统 将 数据 包 送 往 INPUT 链 ， 如 果 通 过 规则 检 
查 ， 则 该 包 被 发 给 相应 的 本 地 进程 处 理 ; 如 果 没 通过 规则 检查 ， 系 统 就 会 将 这 个 
包 丢 掉 。 

邻 “ 如 果 数 据 包 的 目的 地 址 不 是 本 机 ， 也 就 是 说 ， 这 个 包 将 被 转发 ， 则 系统 将 数据 包 
送 往 FORWARD 链 ， 如 果 通 过 规则 检查 ， 则 该 包 被 发 给 相应 的 本 地 进程 处 理 ， 如 
果 没 通过 规则 检查 ， 系 统 就 会 将 这 个 包 丢掉 。 

信 ”如 果 数 据 包 是 由 本 地 系统 进程 产生 的 ， 则 系统 将 其 送 往 OUTPUT 链 ， 如 果 通 过 规 
则 检查 ， 则 该 包 被 发 给 相应 的 本 地 进程 处 理 ; 如 果 没 通过 规则 检查 ， 系 统 就 会 将 
这 个 包 丢掉 。 
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图 8-77 说 明了 Netfilter/Iptables 过 滤 数 据 包 的 过 程 。 
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图 8-77 Netfilter/Iptables 过 滤 数 据 包 的 过 程 示意 图 


2. Netfilter 中 的 链 和 表 
Netfilter 中 有 5 种 内 置 的 链 , 这 5 种 链 可 以 组 成 Filter、NAT 和 Mangle 三 种 不 同 的 表 。 


1) 


Filter # 


Filter 表 用 来 过 滤 数 据 包 ， 可 以 在 任何 时 候 匹 配 包 并 过 滤 它 们 。 我 们 就 是 在 这 里 根据 包 
的 内 容 将 包 丢 弃 或 接受 的 。 当 然 ， 也 可 以 预先 在 其 他 地 方 做 些 过 滤 ， 但 是 这 个 表 才 是 设计 
用 来 过 滤 的 。 几乎 所 有 的 目标 都 可 以 在 这 个 表 中 使 用 。 Filter 表 包 括 Input. Forward 和 Output 
等 3 种 内 置 的 链 。 


2) 


NAT 表 


NAT 表 主 要 实现 地 址 转换 功能 ， 它 包括 Prerouting, Postrouting, Output 等 3 种 内 置 的 
ft. NAT 表 的 操作 分 为 DNAT( 目 标 网 络 地 址 转换 ) 操 作 、SNAT( 源 网 络 地 址 转换 ) 操 作 和 
MASQUERADE( 伪 装 ) 操 作 。 


* 
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DNAT 操作 : 该 操作 主要 用 于 这 样 一 种 情况 : 有 一 个 合法 的 瑟 地址 ， 要 把 对 防火 
墙 的 访问 重 定向 到 其 他 机 器 上 (比如 DMZ)。 也 就 是 说 ， 我 们 改变 的 是 目的 地 址 ， 

使 数据 包 能 够 路 由 到 某 台 主机 。 

SNAT 操作 : 该 操作 改变 包 的 源 地 址 ， 这 在 极 大 程度 上 可 以 隐藏 本 地 网 络 细节 或 者 
DMZ 等 。 一 个 很 好 的 例子 是 我 们 知道 防火 墙 的 外 部 地 址 ， 但 必须 用 这 个 地 址 替换 
本 地 网 络 地 址 。 有 了 这 个 操作 ， 防 火 墙 就 能 自动 地 对 包 做 SNAT 和 De-SNAT( 就 是 
反 向 的 SNAT) 操 作 ， 以 使 LAN 能 连接 到 Intermet。 如 果 使 用 类 似 192.168.0.0/24 
这 样 的 地 址 ， 是 不 会 从 Internet 得 到 任何 回应 的 。 因 为 IANA(Intemet Assigned 
Numbers Authority， 因 特 网 号 码 分 配 管理 局 ) 定 义 这 些 网 络 (还 有 其 他 的 ) 为 私有 的 ， 
只 能 用 于 LAN 内 部 。 

MASQUERADE 操作 : 该 操作 的 作用 和 SNAT 完全 一 样 ， 只 是 计算 机 的 负荷 稍微 
多 一 点 。 因 为 对 每 个 匹配 的 包 ，MASQUERADE 都 要 查找 可 用 的 IP 地 址 ， 而 不 像 
SNAT 用 的 IP 地 址 是 配置 好 的 。 当 然 ， 这 也 有 好 处 ， 就 是 我 们 可 以 使 用 通过 PPP. 


3) 


加 第 8 章 防火 墙 a 


PPPOE, SLIP 等 拨号 得 到 的 地 址 ， 这 些 地 址 可 是 由 ISP 的 DHCP 随机 分 配 的 。 
Mangle 表 


Mangle 表 仅 对 数据 包 中 的 TOS、TTL、MARK 字段 进行 操作 。 


E 


对 TOS 的 操作 : 用 来 设置 或 改变 数据 包 的 服务 类 型 域 ， 常 用 来 设置 网 络 上 的 数据 
包 如 何 被 路 由 等 策略 。 注 意 ， 这 个 操作 并 不 完善 。 它 在 Intemet 上 还 不 能 使 用 ， 而 
且 很 多 路 由 器 不 会 注意 到 这 个 域 值 。 

对 TTL 的 操作 : 用 来 改变 数据 包 的 生存 时 间 域 ， 我 们 可 以 让 所 有 数据 包 只 有 一 个 
特殊 的 TIL。 它 的 存在 有 一 个 很 好 的 理由 ， 那 就 是 我 们 可 以 欺骗 一 些 ISP。 为 什么 
要 欺骗 它们 呢 ? 因为 它们 不 愿意 让 我 们 共享 一 个 连接 。 那 些 ISP 会 查找 一 台 单独 
的 计算 机 是 否 使 用 不 同 的 TIL， 并 且 以 此 作为 判断 连接 是 否 被 共享 的 标志 。 

对 MARK 的 操作 : 用 来 给 包 设 置 特殊 的 标记 。IP Route 2 能 识别 这 些 标记 ， 并 根 
据 不 同 的 标记 (或 没有 标记 ) 决 定 不 同 的 路 由 。 使 用 这 些 标记 我 们 可 以 做 带宽 限制 和 
基于 请 求 的 分 类 。 


8.5. 配置 Linux 防火 墙 


利用 Linux 配置 防火 墙 ， 通 常设 置 两 块 网 卡 ， 一 块 流入 ， 一 块 流出 。Iptables 读 取 流入 
和 流出 的 数据 包 的 报头 ， 然 后 将 它们 与 规则 集 相 比较 ， 将 可 接受 的 数据 包 从 一 块 网 卡 转发 
至 另外 一 块 网 卡 。 对 于 被 拒绝 的 数据 包 ， 可 以 被 丢弃 或 者 按照 用 户 所 定义 的 方式 来 处 理 。 

通过 向 防火 墙 提供 有 关 针 对 源 耳 、 目 的 IP. 或 特定 协议 类 型 的 信息 包 的 规则 ， 可 以 控制 
信息 包 的 过 滤 。 通 过 使 用 Iptables 系统 提供 的 特殊 命令 Iptables 可 以 建立 这 些 规则 ， 并 将 其 
添加 到 内 核 空间 的 特定 信息 包 过 滤 表 内 的 链 中 。 关 于 添加 、 除 去 、 编 辑 规则 的 命令 的 一 般 
语法 如 下 。 

Iptables [-t table] command [match] [target] 


其 中 部 分 命令 的 含义 如 下 。 


* 


E 


-ttable: 用 来 指定 规则 表 。 内 建 的 规则 表 有 3 个 ， 分 别 是 : Nat. Mangle 和 Filter. 
当 未 指定 规则 表 时 ， 则 一 律 视 为 Filter。 

command: 用 来 规则 地 进行 操作 ， 常 用 命令 有 -A( 新 增 规则 )、-D( 删 除 一 条 规则 )、 
-了 (取代 现行 规则 )、-I( 插 入 一 条 规则 )、- 工 ( 列 出 某 规则 链 中 的 所 有 规则 )、- 下 (删除 
某 规则 链 中 的 所 有 规则 )、-P( 定 义 过 滤 政策 ,对 未 符合 过 滤 条 件 的 数据 包 预 设 的 处 
理 方 式 ) 等 。 

match : 用 来 定义 数据 包 的 匹配 方法 ， 主 要 有 --p( 匹 配 数据 包 的 协议 类 型 ， 如 tcp、 
udp)、-s( 匹 配 数据 包 的 源 下 )、-d( 匹 配 数据 包 的 目的 也)、-i( 数 据 包 进 入 的 接口 ， 
如 eth0)、-o( 数 据 包 转发 的 接口 ， 如 -o eth1)、 一 sport( 匹 配 数据 包 的 源 端口 号 )、 
一 dport( 匹 配 数据 包 的 目的 端口 号 )、--tcp-flags( 匹 配 TCP 数据 包 的 状态 标记 ， 如 
一 tcp-flags SYN,FIN,ACK SYN). -m state 一 state( 匹 配 数据 包 的 连接 状态 ， 有 
INVALID. ESTABLISHED. NEW 和 RELATED 四 种 ) 等 。 

target: 设置 处 理 运 作 ， 通 过 -j 参数 指定 要 进行 的 处 理 动作 。 常 用 的 处 理 动作 有 
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ACCEPT( 放 行 数据 包 )、REJECT( 拦 阻 数据 包 )、DROP( 丢 弃 数 据 包 不 予 处 理 )、 
REDIRECT( 将 数据 包 重 新 导向 到 另 一 个 端口 )、MASQUERADE( 改 写 数据 包 来 源 
IP 为 防火 墙 NIC IP)、LOG( 将 数据 包 相 关 信 息 记录 在 /var/log 中 )、DNAT( 改 写 数 
据 包 目的 地 IP 为 某 特定 IP 或 IP 范围 )、SNAT( 改 写 数据 包 来 源 IP 为 某 特定 
IP 或 IP 范围 )、MIRROR( 镜 像 数 据 包 ， 也 就 是 将 来 源 IP 与 目的 IP 对 调 后 ， 将 
数据 包 送 回 )、QUEUE( 中 断 过 滤 程 序 ， 将 数据 包 放 入 队列 ， 交 给 其 他 程序 处 理 )、 
RETURN( 结 束 在 目前 规则 链 中 的 过 滤 程 序 ， 返 回 主 规则 链 继续 过 滤 )、MARK( 将 


数据 包 标 上 某 个 代号 ， 以 便 提 供 作 为 后 续 过 滤 的 条 件 判 断 依据 )。 
下 面 是 一 个 常用 的 Linux 防火 墙 的 数据 过 滤 脚 本 例子 。 


* iptables -P INPUT ACCEPT 

* iptables -P OUTPUT ACCEPT 
* iptables -P FORWARD ACCEPT 
+ 


iptables -A INPUT i lo j ACCEPT 
# iptables -A INPUT -p tcp s 0.0.0.0/0 --dport 22 m state --state NEW -j ACCEPT 
# iptables -A INPUT p tcp s 0.0.0.0/0 --dport 25 m state --state NEW -j ACCEPT 
# iptables -A INPUT p tcp s 0.0.0.0/0 --dport 80 m state --state NEW -j ACCEPT 


# iptables -A INPUT p tcp s 0.0.0.0/0 --dport 5900 m state --state NEW -j 
ACCEPT 
# iptables -A INPUT p tcp s 0.0.0.0/0 --dport 5901 m state --state NEW -j 
ACCEPT 


# iptables -A INPUT m state --state ESTABLISHED, RELATED -j ACCEPT 
# iptables -A INPUT --reject-with icmp-host-prohibited -j REJECT 


如 果 要 防止 TCP SYN 攻击 ， 可 在 脚本 中 增加 如 下 一 行 。 

# iptables -A FORWARD -p tcp --tcp-flags ALL SYN -j DROP 

如 果 要 防止 IP 碎片 攻击 ， 可 在 脚本 中 增加 如 下 一 行 。 

# iptables -A FORWARD -f -s 10.0.0.0/24 -d 192.168.1.1 -j DROP 

可 以 通过 限制 ICMP 报 文 频率 来 防范 ICMP 攻击 ， 方 法 是 在 脚本 中 增加 如 下 代码 


#iptables -A INPUT -p icmp -m limit --limit 6/m --limit-burst 5 -j A 
*iptables -P INPUT DROP 


8.5.8 透明 Linux 防火 墙 


有 时 候 ， 我 们 仅仅 需要 在 两 个 网 络 之 间 实 现 访问 控制 ， 但 又 不 想 改动 原本 的 网 络 


CCEPT 


结构 ， 


这 时 就 需要 用 到 透明 防火 墙 。 所 谓 透明 防火 墙 ， 就 是 用 户 完全 意识 不 到 防火 墙 的 存在 ， 就 


像 在 两 个 网 络 中 增加 一 台 网 桥 ( 非 透明 的 防火 墙 相当 于 一 台 路 由 器 )， 网 络 设备 (包括 3 


E 机 、 


路 由 器 、 工 作 站 等 ) 和 所 有 计算 机 的 设置 (包括 IP 地 址 和 网 关 ) 无 须 改变 ， 同 时 解析 所 有 通过 
它 的 数据 包 ， 既 增加 了 网 络 的 安全 性 ， 又 降低 了 用 户 管理 的 复杂 程度 。Linux 防火 墙 也 可 以 


实现 透明 模式 ， 具 体 配置 方法 如 下 。 


Q 配置 网 络 ， 使 防火 墙 两 块 网 卡 均 有 相同 的 IP 地 址 。 配置 方 法 是 修改 /etc/sysconfig/ 
network-scripts/ifcfg-ethO fu/etc/sysconfig/network-scripts/ifcfg-ethl 两 个 文件 ， 使 其 文件 内 容 


如 下 。 
DEVICE-ethO 
-292-* 


c2sm PK 
BOOTPROTO-none 
BROADCAST-10.17.74.255 
IPADDR-10.17.74.254 
NETMASK-255.255.255.0 
NETWORK-10.17.74.0 
ONBOOT-yes 

USERCTL-no 

PEERDNS-no 

TYPE-Ethernet DEVICE-ethl 
BOOTPROTO-none 
BROADCAST-10.17.74.255 
IPADDR-10.17.74.254 
NETMASK-255.255.255.0 
NETWORK-10.17.74.0 
ONBOOT-yes 

USERCTL-no 

PEERDNS-no 

TYPE-Ethernet 


[2] 在 文件 /etc/sysconfig/network-scripts/ifcfg-ethO. 中 加 入 一 行 用 来 设置 默认 路 由 。 
gateway-10.17.74.1 


O 执行 如 下 命令 启用 数据 包 转 发 和 ARP 代理 (Proxy_arp) 功 能 . 


#Ip forward 

/sbin/sysctl -w net.ipv4.conf.all.forwarding-1 
$Enable proxy-arp 

/sbin/sysctl -w net.ipv4.conf.ethO0.proxy arp-l 
/sbin/sysctl -w net.ipv4.conf.ethl.proxy arp-1 


O 由 于 两 块 网 卡 (etho、ethl) 使 用 同样 的 卫 ， 如 果 不 指 定 转发 路 径 ， 会 导致 路 由 混乱 ， 从 而 使 
防火 墙 内 的 计算 机 无 法 访问 Internet。 指 定 转发 路 径 的 方法 是 在 /etc/rc.dirc.local 文件 中 添 
加 如 下 几 行 。 
#Define route 
/sbin/ip route del 10.17.74.0/24 dev eth0 
/sbin/ip route add 10.17.74.1 dev eth0 
/Sbin/ip route add 10.17.74.0/24 dev ethl 

@@ 配置 完成 后 ， 运行 service network restart 命令 重新 启动 网 络 服务 或 重新 启动 计算 机 ， 使 配置 
生效 。 


8.5.4 管理 Linux 防火 墙 


如 果 仅 通过 命令 行 来 管理 Linux 防火 墙 ， 维 护 起 来 比较 困难 。 如 果 在 Linux 防火 墙 上 安 
装 并 配置 Webmin， 用 户 就 可 以 与 Cisco ASDM 一 样 ， 可 以 使 用 图 形 的 管理 方式 来 管理 防火 
墙 了 。 下 面 简要 介绍 其 配置 过 程 。 
Q 安装 Webmin 后 ， 在 服务 器 上 通过 http://127.0.0.1:10000 访 问 ， 并 输入 用 户 名 root 及 密码 ， 
如 图 8-78 所 示 。 登 录 Webmin 后 ， 可 以 将 界面 转换 为 中 文 。 


“Tag 


XM o 网 络 安 全 大 全 上 


Login to Webmin 


You must enter a usemame and password to login to the Webmin 
server on 127.0.0.1. 


Usemame joo 


Password eeeeee 


Login | Clear 


T^ Remember login permanently? 


图 8-78 登录 Webmin 


© 登录 成 功 后， 进入 Webmin 的 配置 界面 ， 选 择 【 网 络 〗 一 Linux Firewall 结 点 ， 如 图 8-79 
所 示 。 


Webmin, fi 
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8-79 Webmin 配置 界面 


eo 进入 Linux Firewall 配置 界面 后 ， 可 以 看 到 Linux 默认 的 3 fé (Filter; Mangle 41 NAT), 如 
图 8-80 所 示 。 


dn EP O ED [rmi o 011000 Y] Oc f 
网 ped hat Maod hat Magazme aod hai Neimork Mile Hat Support 
yed Fm Linux Firewall mide. 


Shown rabie. Add anew chanramea 
Tackel raeng (Per EI 


Incoming packets (INPUT) 


superaahchonm |[Accepk 2] Oslot Selected | 。 wanue | | 


Forwarded packets (FORWARD) 
Sewera bon 


Select at lnversaechon 
SetDafaut Acton Te. |[Accept =] _Delete Selected | _Ada Rule | 


Outgoing packets (OUTPUT) 
There are no rules defined for this chain. 


oe EE SetDeraa Acton [Accept =] Aano 
9a 0 


Select s [ivert selection Hd 


Done 


Æ 8-80 Linux Firewall 配置 界面 
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a 3s* 防火 墙 a 
O 单 击 其 中 一 个 表 ， 可 以 看 到 该 表 的 访问 规则 ， 图 8-81 所 示 的 是 Filter 表 。 


action condition Move ada 
z errace is 10 + |F| 


50 ^T LT 
51 Het iT 


UDP and destination is 224.0.0.251 and 
ort is S353 +t 土 于 


厂 Accept If proto. UDP and destination port is 631 +t £T 
T^ Accept If protocol is TEP and destination port is 631. +t £T 
[- Accept If state of connection is ESTABLISHED.RELATED dt £T 


If protocol is TCP and destination port is 21 and state of 


T Accept connecton's NEW. 24 iT 
lee ue pmeves d parl 
F |^ccept c CL me d desunatonportisZzandstateof |} g FE 
F Accept peces dte destination port is 443 and state of 4t £T 
F Accept IE protocot i maz ana destination portis Z3andstateof ye gy 
m c ES gesunauon portis80andstateorf — ye F 
I Reject Always tir 


图 8-81 Filter Æ 
Q 在 图 8-81 中 ， 可 以 单 击 Add Rule 按钮 ， 进 行规 则 的 添加 和 删除 等 操作 。 


8.6 本 章 小 结 


本 章 介 绍 了 Cisco IOS Firewall、PIX/ASA、 微 软 ISA Server 2004 和 Linux Iptables 等 多 
种 防火 墙 系统 。Cisco IOS Firewall 主要 针对 原来 已 经 部 署 IOS 路 由 器 的 用 户 ， 目 的 是 获得 
安全 性 的 提升 .ASA 是 Cisco 推出 的 具有 代表 性 的 UTM 产品 , 通过 一 个 设备 实现 了 防火 墙 、 
防 病毒 网 关 、 邮 件 过 滤 网 关 、VPN 服务 器 、IPS 入 侵 检 测 等 众多 功能 ， 这 样 的 产品 对 于 提 
升 网 络 安全 性 具有 很 大 的 帮助 。 微 软 ISA Server 2004 主要 用 于 使 用 一 些 低 端 路 由 器 、 交 换 
机 平台 (这 些 产 品 上 没有 足够 的 安全 选项 ), 并 已 经 部 署 了 大 量 的 Windows 系统 的 公司 ,Linux 
防火 墙 由 于 是 一 个 免费 系统 ， 可 以 获得 较 好 的 安全 性 ， 并 且 通 过 Web 的 方式 也 容易 配置 。 
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随 着 网 络 安全 风险 系数 不 断 提 高 ， 曾 经 作为 最 主要 的 安全 防范 手段 的 防火 墙 ， 已 经 不 
能 满足 人 们 对 网 络 安全 的 需求 。 作 为 对 防火 墙 极 其 有 益 的 补充 ，IDSGmntrusion Detection 
Systems， 入 侵 检测 系统 ) 能 够 帮助 网 络 系统 快速 发 现 攻击 的 发 生 ， 它 扩展 了 系统 管理 员 的 安 
全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 )， 提 高 了 信息 安全 基础 结构 的 完整 性 。 
与 此 同时 ， 互 联网 中 DDoS 攻击 等 入 侵 行为 使 用 频率 越 来 越 高 ， 如 何 有 效 地 防御 DDoS Ji 
击 也 是 维护 网 络 安全 的 重要 任务 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

IPS/IDS 工作 原理 

HIL IPS, IDS 系统 配置 方式 
Linux IDS 实现 

DDosS 防御 


$944 


9.14 IPS/IDS 工作 原理 


9.1.1 IDS 工作 原理 


EE, MWR EEAE 1 HUM "EAR UE IE", "CLASES PE S VU PE I BERE RA 
一 个 监听 端口 )， 无 须 转发 任何 流量 ， 而 只 需要 在 网 络 上 被 动 地 、 无 声息 地 收集 它 所 关心 的 
报 文 即 可 。IDS 处 理 过 程 分 为 数据 采集 阶段 、 数 据 处 理 及 过 滤 阶 段 、 入 侵 分 析 及 检测 阶段 、 
报告 及 响应 阶段 等 4 个 阶段 。 在 数据 采集 阶段 中 ， 入 侵 检测 系统 收集 目标 系统 中 引擎 提供 
的 主机 通信 数据 包 和 系统 使 用 等 情况 ;， 数据 处 理 及 过 滤 阶 段 是 把 采集 到 的 数据 转换 为 可 以 
识别 是 否 发 生 入 侵 的 阶段 ， 入 侵 分 析 及 检测 阶段 通过 分 析 上 一 阶段 提供 的 数据 来 判断 是 否 
发 生 入 侵 ， 这 一 阶段 是 整个 入 侵 检测 系统 的 核心 阶段 ， 根 据 系统 是 以 检测 异常 使 用 为 目的 
还 是 以 检测 利用 系统 的 脆弱 点 或 应 用 程序 的 BUG 来 进行 入 侵 为 目的 , 可 以 区 分 为 异常 行为 
和 错误 使 用 检测 ;报告 及 响应 阶段 针对 上 一 个 阶段 中 进行 的 判断 作出 响应 ， 如 果 判 断 为 发 
生 入 侵 ， 系 统 将 对 其 采取 相应 的 响应 措施 ， 或 者 通知 管理 人 员 发 生 入 侵 ， 以 便于 采取 措施 。 
最 近 人 们 对 入 侵 检测 及 响应 的 要 求 日 益 增 加 ， 特 别 是 对 其 跟踪 功能 的 要 求 越 来 越 强 烈 。 

目前 , IDS 分 析 及 入 侵 检 测 阶段 一 般 通过 以 下 几 种 技术 手段 进行 分 析 : 特征 码 匹 配 、 基 
于 统计 分 析 和 完整 性 分 析 。 其 中 ， 前 两 种 方法 用 于 实时 的 入 侵 检测 ， 而 完整 性 分 析 则 用 于 
事后 分 析 。 

特征 库 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进 行 比较 ， 
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从 而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹 配 以 寻找 一 个 简单 的 条 
目 或 指令 )， 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一 般 来 讲 ， 
一 种 进攻 模式 可 以 用 一 个 过 程 (如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 该 方法 的 
一 大 优点 是 只 需 收集 相关 的 数据 集合 ， 显 著 减 少 系统 负担 ， 且 技术 已 相当 成 熟 。 它 与 病毒 
防火 墙 采 用 的 方法 一 样 ， 检 测 准确 率 和 效率 都 相当 高 。 但 是 ， 该 方法 存在 的 弱点 是 需要 不 
断 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ， 不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

统计 分 析 方 法 首先 给 信息 对 象 (如 用 户 、 连接、 文件 、 目录 和 设备 等 ) 创 建 一 个 统计 描述 ， 
统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 )。 测 量 属性 的 平均 值 
将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ， 任 何 观察 值 在 正常 偏差 之 外 时 ， 就 认为 有 入 侵 发 
生 。 例 如 ， 统 计 分 析 可 能 标识 一 个 不 正常 行为 ， 因 为 它 发 现 一 个 在 晚 8 点 至 早 6 点 不 登录 
的 账户 却 在 凌晨 2 点 试图 登录 ， 或 者 针对 某 一 特定 站 点 的 数据 流量 异常 增 大 等 。 其 优点 是 
可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 ， 缺 点 是 误 报 、 漏 报 率 高 ， 且 不 适应 用 户 正常 行为 
的 突然 改变 。 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 包 括 文件 和 目录 的 内 容 及 属性 ， 它 
在 发 现 被 更 改 的 、 被 特洛伊 化 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 强 有 力 的 加 密 机 
制 ， 称 为 消息 摘要 函数 (如 MD5)， 能 识别 极其 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 
统计 分 析 方 法 能 否 发 现 入 侵 ， 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 ， 它 都 
能 够 发 现 。 缺 点 是 一 般 以 批 处 理 方式 实现 ， 不 用 于 实时 响应 。 


9.1.2 Z IDS 


防火 墙 在 网 络 安全 中 起 到 大 门 警 卫 的 作用 ， 对 进出 的 数据 依照 预先 设 定 的 规则 进行 匹 
配 ， 符 合 规则 的 就 予以 放行 ， 起 访问 控制 的 作用 ， 是 网 络 安全 的 第 一 道 闸门 。 优 秀 的 防火 
墙 甚至 对 高 层 的 应 用 协议 进行 动态 分 析 ， 保 护 进 出 数据 应 用 层 的 安全 。 但 防火 墙 的 功能 也 
有 局 限 性 ， 防 火 墙 只 能 对 进出 网 络 的 数据 进行 分 析 ， 对 网 络 内 部 发 生 的 事件 完全 无 能 为 。 
同时 ， 由 于 防火 墙 处 于 网 关 的 位 置 ， 不 可 能 对 进出 攻击 做 太 多 判断 ， 否 则 会 严重 影响 网 络 
性 能 。 

如 果 把 防火 墙 比 作 大 门 警 卫 的 话 ，IDS 就 是 网 络 中 不 间断 的 摄像 机 。 在 实际 的 部 署 中 ， 
IDS 是 并 联 在 网 络 中 , 通过 旁 路 监听 的 方式 实时 地 监视 网 络 中 的 流量 , 对 网 络 的 运行 和 性 能 
无 任何 影响 ， 同 时 判断 其 中 是 否 含有 攻击 的 企图 ， 通 过 各 种 手段 向 管理 员 报警 ， 不 但 可 以 
发 现 外 部 的 攻击 ， 也 可 以 发 现 内 部 的 恶意 行为 。 所 以 说 ，IDS 是 网 络 安全 的 第 二 道 闸 门 ， 是 
防火 墙 的 必要 补充 ， 可 构成 完整 的 网 络 安全 解决 方案 。 

严格 地 说 ，IDS 并 不 是 一 个 防范 工具 ， 它 并 不 能 阻 断 攻击 。 只 有 防火 墙 才能 限制 非 授 权 
的 访问 ， 在 一 定 程 度 上 防止 入 侵 行为 。 而 IDS 提供 快速 响应 机 制 ， 报 告 入 侵 行为 ， 意 味 着 
一 种 牵制 政策 。IDS 可 以 与 防火 墙 在 功能 上 实现 联动 , 进行 很 好 地 配合 ， 将 大 大 提高 网 络 系 
统 的 安全 性 。 当 IDS 检测 到 入 侵 行 为 发 生 ， 立 即 发 出 一 个 指令 给 防火 墙 ， 防 火 墙 马 上 关闭 
通信 连接 ， 从 而 阻 断 入 侵 。 

目前 ， 大 部 分 的 IDS 产品 基本 上 由 入 侵 检测 引擎 和 管理 控制 台 组 成 ， 在 具体 应 用 时 可 
以 根据 网 络 结构 和 需求 做 不 同 的 部 署 。 一 般 都 部 署 在 需要 重点 保护 的 部 位 ， 如 企业 内 部 寻 
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要 服务 器 所 在 的 子 网 ， 对 该 子 网 中 的 所 有 连接 进行 监控 。 根 据 网 络 的 拓扑 结构 的 不 同 ，IDS 
的 监听 端口 可 以 接 在 共享 媒质 的 集线器 或 交换 机 的 镜像 端口 (SpanPort) 上 ， 或 专 为 监听 所 增 
设 的 分 接 器 (Tap) 上 。 


9.1.3 IPS 5 IDS 的 区 别 


早期 的 IDS 通过 查找 任何 异常 的 通信 发 挥 作用 。 当 检测 到 异常 的 通信 时 ， 这 种 行为 将 
被 记录 下 来 并 且 向 管理 员 发 出 警报 。 这 个 过 程 很 少 出 现 问题 。 对 于 初始 者 来 说 ， 查 找 异 常 
通信 方式 会 产生 很 多 错误 的 报告 。 经 过 一 段 时 间 之 后 ， 管 理 员 会 对 收 到 过 多 的 错误 警报 感 
到 厌烦 ， 从 而 完全 忽略 IDS 的 警报 。 

IDS 的 另 一 个 主要 缺陷 是 它们 仅 监视 主要 的 通信 。 如 果 检 测 到 一 种 攻击 , 它 将 提醒 管理 
员 采 取 行 动 。 人 们 认为 IDS 采取 的 这 种 方法 是 很 好 的 。 总 之 ， 由 于 IDS 会 产生 很 多 的 错误 
报告 ， 用 户 真 的 愿意 让 IDS 对 合法 的 网 络 通信 采取 行动 吗 ? 

在 过 去 的 几 年 里 ，IDS 已 经 有 了 很 大 的 进步 。 目 前 ，IDS 的 工作 方式 更 像 是 一 种 杀毒 软 
fF. IDS 包含 一 个 名 为 攻击 特征 的 数据 库 。 这 个 系统 不 断 地 把 入 网 的 通信 与 数据 库 中 的 信息 
进行 比较 。 如 果 检 测 到 攻击 行动 ，IDS 就 发 出 这 个 攻击 的 警报 。 

比较 新 的 IDS 比 以 前 的 系统 更 准确 一 些 。 但 是 ， 这 个 数据 库 需 要 不 断 地 更 新 以 保持 有 
效 性 。 而 且 ， 如 果 发 生 了 攻击 并 且 在 数据 库 中 没有 相 匹 配 的 特征 ， 这 个 攻击 可 能 就 会 被 忽 
略 。 即 使 这 个 攻击 被 检测 到 并 且 被 证 实 是 一 种 攻击 , IDS 除了 向 管理 员 发 出 警报 和 记录 这 个 
攻击 之 外 没有 力量 做 任何 事情 。 这 就 是 入 侵 防 御 系 统 GPS) 的 任务 了 。IPS 与 IDS 类 似 , 但 是 
IPS 在 设计 上 解决 了 IDS 的 一 些 缺 陷 。 

对 于 初始 者 来 说 ，IPS 位 于 防火 墙 和 网 络 设备 之 间 。 这 样 ， 如 果 检 测 到 攻击 ，IPS 会 在 
这 种 攻击 扩散 到 网 络 的 其 他 地 方 之 前 阻止 这 个 恶意 的 通信 。 相 比 之 下 , IDS 只 是 存在 于 网 络 
之 外 起 到 报警 的 作用 ， 而 不 是 在 网 络 前 面 起 到 防御 的 作用 。 

IPS 检测 攻击 的 方法 也 与 IDS 不 同 。 目 前 有 很 多 种 IPS 系统 , 它们 使 用 的 技术 都 不 相同 。 
但 是 ， 一 般 来 说 ，IPS 系统 都 依靠 对 数据 包 的 检测 。IPS 通过 检查 入 网 的 数据 包 ， 确 定 这 种 
数据 包 的 真正 用 途 ， 然 后 决定 是 否 允 许 这 种 数据 包 进 入 网 络 。 


9.1.4 IPS 简介 


IPS 实现 实时 检查 和 阻止 入 侵 的 原理 在 于 拥有 数目 众多 的 过 滤器 ， 能 够 防止 各 种 攻击 。 

当 新 的 攻击 手段 被 发 现 之 后 ，IPS 就 会 创建 一 个 新 的 过 滤器 。IPS 数据 包 处 理 引 擎 是 专业 化 
定制 的 集成 电路 ， 可 以 深层 检查 数据 包 的 内 容 。 如 果 有 攻击 者 利用 Layer 2 (介质 访问 控制 ) 
*& Layer 7( 应 用 ) 的 漏洞 发 起 攻击 ，IPS 能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 阻止 。 传 统 的 
防火 墙 只 能 对 Layer 3 或 Layer 4 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 防 火 墙 的 包 过 滤 技 术 
不 会 针对 每 一 字 节 进 行 检查 ， 因 而 也 就 无 法 发 现 攻 击 活动 ， 而 IPS 可 以 做 到 逐 字 节 地 检查 
数据 包 。 所 有 流 经 IPS 的 数据 包 都 被 分 类 ， 分 类 的 依据 是 数据 包 中 的 报头 信息 ， 例 如 源 IP 
地 址 和 目的 IP 地 址 、 端 口号 和 应 用 域 。 每 种 过 滤器 负责 分 析 相 对 应 的 数据 包 。 通 过 检查 的 
数据 包 可 以 继续 通行 ， 包 含 恶意 内 容 的 数据 包 就 会 被 丢弃 ， 被 怀疑 的 数据 包 需 要 接受 进 一 
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步 的 检查 。 

针对 不 同 的 攻击 行为 ，IPS 需要 不 同 的 过 滤器 。 每 种 过 滤器 都 设 有 相应 的 过 滤 规 则 ， 为 
了 确保 准确 性 ， 这 些 规则 的 定义 非常 广泛 。 在 对 传输 内 容 进 行 分 类 时 ， 过 滤器 引擎 还 需要 
参照 数据 包 的 信息 参数 ， 并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 ， 以 提高 过 滤 准 
确 性 。 

过 滤器 引擎 集合 了 流水 线 和 大 规模 并 行 处 理 硬件 ， 能 够 同时 执行 数 干 次 的 数据 包 过 滤 
检查 。 并 行 过 滤 处 理 可 以 确保 数据 包 能 够 不 间断 地 快速 通过 系统 ， 不 会 对 速度 造成 影响 。 
这 种 硬件 加 速 技术 对 于 IPS 具有 重要 意义 ， 因 为 传统 的 软件 解决 方案 必须 串 行 进行 过 滤 检 
查 ， 会 导致 系统 性 能 大 打折 扣 。 


1. 基于 主机 的 入 侵 防 护 (HIPS) 


HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 , 防止 网 络 攻击 入 侵 操作 系统 以 及 应 用 程 
序 。 基 于 主机 的 入 侵 防护 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 。Cisco 公司 的 
Okena, NAI 公司 的 McAfee Entercept、 冠 群 金 辰 的 龙 渊 服务 器 核心 防护 都 属于 这 类 产品 ， 
它们 在 防范 红色 代码 和 Nimda 的 攻击 中 起 到 了 很 好 的 防护 作用 。 基 于 主机 的 入 侵 防 护 技 术 
可 以 根据 自 定义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服务 器 、 主机 发 起 的 恶意 入 侵 。HIPS 
可 以 阻 断 缓冲 区 溢出 、 改 变 登 录 口 令 、 改 写 动 态 链 接 库 以 及 其 他 试图 从 操作 系统 夺取 控制 
权 的 入 侵 行为 ， 整 体 提升 主机 的 安全 水 平 。 

在 技术 上 ，HIPS 采用 独特 的 服务 器 保护 途径 ， 利 用 由 包 过 滤 、 状 态 包 检测 和 实时 入 侵 
检测 组 成 的 分 层 防护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 ， 最 大 限度 地 保护 服 
务 器 的 敏感 内 容 ， 既 可 以 以 软件 形式 嵌入 到 应 用 程序 对 操作 系统 的 调用 当中 ， 通 过 拦截 针 
对 操作 系统 的 可 疑 调用 ， 提 供 对 主机 的 安全 防护 ， 也 可 以 以 更 改 操 作 系 统 内 核 程序 的 方式 ， 
提供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 ， 它 不 但 能 够 利用 特征 和 行为 规则 检测 ， 阻 
止 诸 如 缓冲 区 涪 出 之 类 的 已 知 攻 击 ， 还 能 够 防范 未 知 攻击 ， 防 止 针对 Web 页 面 、 应 用 和 资 
源 的 未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ,不同 的 平 
台 需 要 不 同 的 软件 代理 程序 。 

2. 基于 网 络 的 入 侵 防 护 (NIPS) 


NIPS 通过 检测 流 经 的 网 络 流量 ， 提 供 对 网 络 系统 的 安全 保护 。 由 于 它 采 用 在 线 连接 方 
式 ， 所 以 一 旦 辨识 出 入 侵 行为 ，NIPS 就 可 以 去 除 整 个 网 络 会 话 ， 而 不 仅仅 是 复位 会 话 。 同 
样 由 于 实时 在 线 ，NIPS 需要 具备 很 高 的 性 能 ， 以 免 成 为 网 络 的 瓶颈 ， 因 此 NIPS 通常 被 设 
计 成 类 似 于 交换 机 的 网 络 设备 ， 提 供 线 速 吞 吐 速率 以 及 多 个 网 络 端口 。 

NIPS 必须 基于 特定 的 硬件 平台 ， 才 能 实现 千 兆 级 网 络 流量 的 深度 数据 包 检测 和 阻 断 功 
能 。 这 种 特定 的 硬件 平台 通常 可 以 分 为 3 类 : 网 络 处 理 器 (网 络 芯片 )、 专 用 的 FPGA 编程 芯 
片 和 专用 的 ASIC 芯片 。 

在 技术 上 ，NIPS 吸取 了 目前 NIPS 所 有 的 成 熟 技 术 ， 包 括 特征 匹配 、 协 议 分 析 和 异常 
检测 。 特 征 匹 配 是 最 广泛 应 用 的 技术 ， 具 有 准确 率 高 、 速 度 快 的 特点 。 基 于 状态 的 特征 匹 
配 不 但 检测 攻击 行为 的 特征 ， 还 要 检查 当前 网 络 的 会 话 状态 ， 避 人 免 受到 欺骗 攻击 。 
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3. 应 用 入 侵 防护 (AIP) 


NIPS 产品 有 一 个 特例 ， 即 应 用 入 侵 防 护 (Application Intrusion Prevention，AIP)， 它 把 基 
于 主机 的 入 侵 防护 扩展 成 为 位 于 应 用 服务 器 之 前 的 网 络 设 备 。 AIP 被 设计 成 一 种 高 性 能 的 设 
备 ， 配 置 在 应 用 数据 的 网 络 链 路 上 ， 以 确保 用 户 遵 守 设 置 好 的 安全 策略 ， 保 护 服务 器 的 安 
全 。NIPS 工作 在 网 络 上 ， 直 接 对 数据 包 进行 检 测 和 阻 断 , 与 具体 的 主机 /服务 器 操作 系统 平 

NIPS 的 实时 检测 与 阻 断 功能 很 有 可 能 出 现在 未 来 的 交换 机 上 。 随 着 处 理 器 性 能 的 提高 ， 
每 一 层次 的 交换 机 都 有 可 能 集成 入 侵 防 护 功 能 。 

IPS 技术 需要 面 对 很 多 挑战 ， 其 中 主要 有 3 点 : 一 是 单 点 故障 ， 二 是 性 能 瓶颈 ， 三 是 
误 报 和 漏 报 。 设 计 要 求 IPS 必须 以 嵌入 模式 工作 在 网 络 中 ， 而 这 就 可 能 造成 瓶颈 问题 或 单 
点 故障 。 如 果 IDS 出 现 故 障 ， 最 坏 的 情况 也 就 是 造成 菜 些 攻击 无 法 被 检测 到 ， 而 嵌入 式 的 
IPS 设备 出 现 问题 ， 就 会 严重 影响 网 络 的 正常 运转 。 如 果 IPS 出 现 故 障 而 关闭 ， 用 户 就 会 面 
对 一 个 由 IPS 造成 的 拒绝 服务 问题 ， 所 有 客户 都 将 无 法 访问 企业 网 络 提供 的 应 用 。 

即使 IPS 设备 不 出 现 故 障 ， 它 仍然 是 一 个 潜在 的 网 络 瓶颈 ， 不 仅 会 增加 滞后 时 间 ， 而 
且 会 降低 网 络 的 效率 ，IPS 必须 与 数 千 兆 或 者 更 大 容量 的 网 络 流量 保持 同步 ， 尤其 是 当 加 载 
了 数量 庞大 的 检测 特征 库 时 ， 设 计 不 够 完善 的 IPS 嵌入 设备 将 无 法 支持 这 种 响应 速度 。 绝 
大 多 数 高 端 IPS 产品 供应 商都 通过 使 用 自 定义 硬件 (FPGA、 网 络 处 理 器 和 ASIC 芯片 ) 来 提 
高 IPS 的 运行 效率 。 

误 报 率 和 漏 报 率 也 需要 IPS 认真 面 对 。 在 繁忙 的 网 络 当 中 ， 如 果 以 每 秒 需要 处 理 十 条 
警报 信息 来 计算 ，IPS 每 小 时 至 少 需要 处 理 36 000 条 警报 ， 一 天 就 是 864 000 条 。 一 旦 生成 
了 警报 ， 最 基本 的 要 求 就 是 IPS 能 够 对 警报 进行 有 效 处 理 。 如 果 入 侵 特征 编写 得 不 是 十 分 
完善 ， 那 么 “ 误 报 ” 就 有 了 可 乘 之 机 ， 导 致 合法 流量 也 有 可 能 被 意外 拦截 。 对 于 实时 在 线 
的 IPS 来 说 ， 一 旦 拦截 了 攻击 性 数据 包 ， 就 会 对 来 自 可 疑 攻 击 者 的 所 有 数据 流 进行 拦截 。 
如 果 触 发 了 误 报 警报 的 流量 恰好 是 某 个 客户 订单 的 一 部 分 ， 其 结果 可 想 而 知 。 


9.1.5 常见 IPS 产品 


随 着 互联 网 络 的 发 展 ,众多 IPS 产品 问世 ,其 中 具有 代表 性 的 产品 有 ISS Proventia, Cisco 
IPS/IDS 解决 方案 、BLADE IDS Informer 测试 仪 ， 等 等 。 


1. ISS Proventia 


Internet Security Systems 公司 的 Proventia G 系列 是 串 接 式 入 侵 防 护 系统 ， 能 够 在 保持 
网 络 带宽 及 可 用 性 的 同时 自动 阻 断 恶意 的 攻击 。Proventia G 系列 设备 (如 图 9-1 所 示 ) 在 准确 
性 与 防护 能 力 方面 ， 大 大 超过 了 现 有 的 防火 墙 、 入 侵 检测 系统 以 及 其 他 串 接 式 入 侵 防 护 系 
统 产品 。 作 为 先进 的 串 接 式 入 侵 防 护 系统 ，Proventia G 系列 硬件 设备 能 够 实时 阻 断 已 知 和 
未 知 的 攻击 ， 包 括 分 布 式 拒绝 服务 (DDoS)、 后 门 以 及 混合 威胁 等 ， 而 无 须 工作 繁忙 的 系统 
管理 人 员 的 参与 。 
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2. Cisco IPS/IDS 解决 方案 

Cisco 提供 了 一 套 完整 的 IPS/IDS 解决 方案 。 在 Cisco IOS 软件 平台 上 ，Cisco 提供 了 一 
种 简单 的 IPS 系统 ， 用 于 基本 的 入 侵 过 滤 ， 并 且 IPS 特性 不 会 导致 路 由 器 性 能 下 降 。 同 时 ， 
Cisco 还 支持 网 络 型 IPS/IDS 平台 (NIPS), 例如 Cisco IPS 4200 系列 产品 ， 如 图 9-2 所 示 。 在 
主机 IPS/IDS 平台 (HIPS) 中 ，Cisco 提供 了 基于 CSA 的 安全 代理 平台 。 同 时 随 着 ASA 系列 


集成 了 IPS，Cisco 可 以 提供 出 色 的 UTM 支持 。 


9-1 ISS Proventia G 系列 产品 9-2 Cisco PS 入 侵 防御 系统 
对 于 IDS, IPS 产生 的 Alarm 等 日 志 信息 ，Cisco 可 以 通过 CS-MARS 管理 所 有 的 日 志 。 
3. BLADE IDS Informer 测试 仪 


BLADE 公司 推出 的 IDS Informer. 是 第 一 个 能 够 实现 在 生产 环境 中 对 IDS/IPS 的 布局 、 
配置 、 策 略 的 应 用 等 进行 测试 的 产品 。 

IDS Informer 采用 在 实验 中 针对 每 一 种 攻击 ， 完 整 准确 地 录制 真实 攻击 过 程 的 网 络 数 
据 包 ， 再 经 过 封装 ， 自 动 化 处 理 ， 形 成 一 个 攻击 文件 dlD)， 由 此 构建 了 一 个 庞大 的 攻击 库 
来 对 IDS/IPS 的 各 种 攻击 识别 策略 进行 检测 。 它 采用 SAFE 的 专利 技术 ， 产 生 的 是 无 害 的 
网 络 流量 ， 在 网 络 中 发 送 的 是 真实 而 安全 的 攻击 数据 包 ， 因 此 不 需要 专门 去 准备 攻击 的 目 
标 系统 。 

IDS Informer 拥有 600 多 种 攻击 类 型 ,运行 每 一 种 攻击 只 需 轻 轻 一 点 ， 几 秒 钟 就 可 以 完 
成 。 使 用 IDS Informer， 不 需要 对 系统 平台 和 编程 技术 有 太 多 的 了 解 ， 也 不 需要 专门 准备 攻 
击 目标 系统 。 


9.2 配置 Cisco IPS/IDS 


9.2.1 配置 基于 Cisco IOS IPS/IDS 


从 12.0(5)T 开始 IOS 已 经 开始 支持 IDS T, 但 是 当时 只 支持 59 个 特征 码 , 并 且 可 扩展 
性 也 很 差 ， 只 能 算 个 摆设 而 已 。 在 12.3(11)T 的 IPS 中 支持 118 个 特征 码 ， 并 且 最 重要 的 是 
客户 可 以 通过 更 新 路 由 器 上 Flash 的 一 个 SDF(Signature Definition File， 特 征 码 定义 文件 ) 来 
增加 新 的 特征 ， 通 过 新 的 设计 ，IPS 特性 不 会 影响 路 由 器 的 性 能 。 

1. 配置 Cisco IOS IDS 


Cisco IOS IDS 的 大 多 数 配 置 方法 与 Cisco 路 由 器 一 样 ， 下 面 简单 地 介绍 一 下 对 一 台新 
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Cisco IOS IDS 的 配置 过 程 。 
Q us 进行 初始 化 ， 方 法 如 下 。 


Router (Config)# ip audit Po max-events events num 
Router (Config)# ip audit smtp spam recipients num 


@ cisco IOS 提供 基于 Syslog 的 服务 来 存储 IDS 的 事件 日 志 ， 配 置 如 下 。 


Router (config)# ip audit notify log 


© 为 IDs 设置 事件 行为 。 


Router (Config)# ip audit info (action [alarm] [drop] [reset]] 
Router (config)# ip audit attack (action [alarm] [drop] [reset]) 


O us sss sms. 


Router (Config)# ip audit name SadnessIDS info action alarm 
Router (Config)# ip audit name SadnessIDS attack action alarm drop reset 
Router (config)# ip audit signature signature num disable 


© 将 IDs 列表 应 用 到 某 个 网 络 端口 上 。 


Router (config)# interface FastEthernet0/1 
Router (config-if)# ip audit SadnessIDS in 


Q 下 面 是 一 个 完整 的 IDS 配置 实例 . 


// 定 义 IDSs 上 日 志 使 用 Syslog 并 定义 IDs 列 表 

Router (config)# ip audit notify log 

Router (Config)# ip audit name SadnessIDS info action alarm 
Router (config)# ip audit name SadnessIDS attack action alarm drop reset 
// 关 闭 一 些 常 见 的 特征 ， 减 少 误 报 

Router (config)# ip audit signature 2000 disable  //ping 

Router (config)# ip audit signature 2001 disable  // 主 机 不 可 达 
Router (config)# ip audit signature 2004 disable  //ping request 
Router (config)# ip audit signature 2005 disable // 超 时 

Router (config)# ip audit signature 6051 disable  //DNS zone 转 换 
// 将 配置 应 用 到 接口 

Router (config)# interface FastEthernetl 

Router (config-if)# ip audit SadnessIDS in 


2. 配置 Cisco lOS IPS 


对 于 Cisco IOS IPS， 它 的 配置 过 程 如 下 。 
Q «cisco 官方 网 站 下 载 最 新 SDF 文件 ， 并 在 IOS 中 定义 其 位 置 。SDF 文件 可 以 存放 在 设备 
的 Flash 中 ， 也 可 以 存放 在 一 合 FTTP 服务 器 中 。 


Router (config)#ip ips sdf location tftp://10.0.0.1/ips.sdf 
Router (config)#ip ips sdf location flash://ips/sigsdf 


@ 配置 特征 白 动 升级 . 


Router (config)# ip ips auto-update 

Router (config-ips-auto-update)# occur-at 0 0-23 1-31 1-5 
Router(config-ips-auto-update)£ username cisco password cisco 
Router(config-ips-auto-update)£* url tftp://10.0.0.1/ipsautoupdate.xml 


© 配置 IPs 列表 ， 以 关闭 一 些 常见 的 特征 ， 减 少 误 报 。 
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Router (config)#ip ips name sadness 

Router (config)#ip ips signature 1107 0 disable 
Router (config)#ip ips signature 3301 0 disable 
Router (config)#ip ips signature 3051 0 disable 
Router (config)#ip ips signature 3051 1 disable 


© 配置 IOS IPs 通过 SDEE 方式 发 送 消息 . 


Router (config)# ip ips notify SDEE 
Router (config)# ip sdee event 500 
Router (config)# ip sdee subscriptions 1 
Router (config)# ip sdee messages 500 
Router (config)# ip sdee alerts 2000 


O 在 设备 端口 上 应 用 IPS 列表 . 
Router (config)# interface FastEthernetl 


Router (config-if)# ip ips sadness in 


3. ft Cisco PIX/ASA 上 配置 IPS/IDS 功能 


Cisco PIX/ASA 也 可 以 在 配置 防火 墙 的 基础 上 ， 再 配置 IPS/IDS 功能 。 特 别 是 ASA 在 
安装 CSC-SSM 模块 后 ,无 法 继续 安装 AIP 模块 时 ， 可 以 按照 下 述 方法 来 配置 ( 注 : PIX ware 
7.2 版 本 )。 


pixfirewall (config)# ip audit name sadness attack action alarm drop reset 
pixfirewall(config)* ip audit name sadness2 info action alarm 
pixfirewall(config)* ip audit attack action alarm drop reset 
pixfirewall(config)* ip audit attack action alarm drop reset 
pixfirewall(config)* ip audit signature 2000 disable 
pixfirewall(config)£ ip audit signature 2000 disable 
pixfirewall(config)£* ip audit signature 2001 disable 
pixfirewall(config)£* ip audit signature 2004 disable 
pixfirewall(config)* ip audit signature 2005 disable 
pixfirewall(config)£* ip audit signature 6051 disable 
pixfirewall(config)t* interface FastEthernet 0 
pixfirewall(config-if)4* ip audit interface outside sadness 
pixfirewall(config-if)* ip audit interface outside sadness2 


9.2.2 配置 Cisco NM-CIDS 


Cisco 入 侵 检 测 网 络 模块 NM-CIDS) 可 以 与 Cisco 接 入 路 由 器 搭配 来 强化 网 络 边界 的 安 
全 ， 如 图 9-3 所 示 。NM-CIDS 模块 配置 简单 ， 可 以 与 网 络 设备 进行 联动 ， 配 合 ISR 路 由 器 
IOS IPS 功能 可 以 使 设备 识别 攻击 、 拦 截 攻击 的 能 力 大 幅度 强化 。 同 时 ， 利 用 NM-CIDS 的 
信息 发 送 给 IPS 网 管 软件 IEV(IDS Event Viewer, IDS 事件 浏览 器 ) 或 Cisco 的 安全 网 管 
MARS, 这 样 就 可 以 更 加 有 效 地 帮助 网 络 管理 员 在 网 络 边界 有 效 地 隔离 攻击 时 间 ， 同 时 了 解 
网 络 的 威胁 。 

但 是 ，NM-CIDS 只 能 工作 在 IDS 模式 ， 并 且 不 支持 桥接 接口 。 当 检测 到 恶意 行为 穿 过 
路 由 器 时 ，NM-CIDS 可 以 和 网 络 设备 联动 发 送 动 态 ACL 实现 连接 复位 等 操作 。 
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图 9-3 Cisco NM-CIDS 


Cisco NM-CIDS 的 配置 主要 包括 模块 的 初始 化 、 监 控 流 量 的 导入 ， 以 及 工作 模式 的 配 
置 等 。 


1. 初始 化 NM-CIDS 
对 于 一 台新 的 Cisco 入 侵 检测 网 络 模块 ， 在 使 用 之 前 ， 需 要 对 其 进行 初始 化 。 下 面 简要 


地 介绍 一 下 初始 化 NM-CIDS 的 过 程 。 
Q 为 加 快 数据 转发 速率 ， 首 先 需要 开启 路 由 器 CEF 功能 。 


Router (config)#ip cef 


接着 ， 需 要 为 NM-CIDS Sensor 接口 指定 IP 地 址 。 


Router (config)# interface ids-sensor 1/0 
Router(config-if)£* ip unnumbered loopback 0 
Router (config-if)# no shutdown 


接 下 来 ， 需 要 登录 到 路 由 器 的 NM-CIDS Sensor 模块 。 


Router# service-module ids-sensor 1/0 session 


登录 到 NM-CIDS Sensor 模块 后 ， 为 NM-CIDS 配置 管理 接口 ， 包 括 瑟 地址、 网 关 、 登 录 
控制 等 。 


sensor (config)# service host 
sensor (config-hos-net)f$network-settings 
sensor(config-hos-net)f4host-ip 192.168.1.200/24, 192.168.1.1 

// 配 置 管理 接口 ITP 地 址 和 网 关 
sensor (config-hos-net)#host-name nm-cids 
sensor (config-hos-net)#telnet-option enabled // 开 启 telnet 选 项 
sensor (config-hos-net)#access-list 192.168.1.0/24 // 配 置 管理 地 址 网 段 
sensor (config-hos-net)#exit 


最 后 还 需要 配置 NM-CIDS 时 区 。 配 置 完 成 后 ， 重 新 启动 使 配置 生效 。 


sensor (config-hos)#time-zone-settings 

sensor (config-hos-tim)#offset 8 

sensor (config-hos-tim)#standard-time-zone-name beijing 

sensor (config-hos-tim)#exit 

sensor (config-hos)#exit 

Apply Changes:?[yes]:yes 

Warning : Reboot is required before the configuration change will take effect 
Warning : The node must be rebooted for the changes to go into effect. 
Continue with reboot?[yes]:yes 


重启 完成 后 ， 还 需要 配置 Web 服务 ， 用 于 IDM 和 IEV 访问 。 
sensor (config)# service web-server 


ss 


m 网 络 安全 大 全 m 


sensor (config-web)# enable-tls true 
sensor (config-web)# port 443 
sensor(config-web)4 exit 

Apply Changes:?[yes]: yes 


2. 初始 化 AIP 模块 


ASA 所 支持 的 AIP 模块 ,同时 支持 按照 NM-CIDS 方式 进行 的 初始 化 ,还 可 以 使 用 setup 
脚本 进行 配置 ， 前 一 种 初始 化 的 配置 在 第 8 章 已 经 介绍 过 ， 这 里 我 们 使 用 setup 脚本 配置 。 


sensor# setup 
--- System Configuration Dialog --- 


At any point you may enter a question mark '?' for help. 
User ctrl-c to abort configuration dialog at any prompt. 
Default settings are in square brackets '[]'. 
Continue with configuration dialog?[yes]: yes 
Enter host name[ssm sensor]: ssm-sensor 
Enter IP interface[10.0.0.2/24, 10.0.0.1]: 192.168.1.250/24, 192.168.1.1 
Enter telnet-server status[disabled]: enabled 
Enter web-server port[443]:443 
Modify current access list?[no]: yes 
Current access list entries: 
Permit:192.168.1.0 
Modify system clock settings?[no]: yes 
Use NTP?[no]: no 
Modify summer time settings?[no]: no 
Modify system timezone?[no]: yes 
Timezone[beijing]: beijing 
UTC Offset[8]: 8 
Modify virtual sensor "vs0" configuration? [no]: 


[0] Go to the command prompt without saving this config. 

[1] Return back to the setup without saving this config. 

[2] Save this configuration and exit setup. 

Enter your selection[2]: 2 

Configuration Saved. 

sensor# reset 

Warning:Executing this command will stop all applications and reboot the node. 
Continue with reset? [] : yes 


3. 初始 化 IPS/IDS 4200 #0 IDSM-2 模块 


IDSM-2 模块 相当 于 把 IPS. 功能 直接 集成 到 交换 机 的 线 卡 中 , 并 从 交换 机 背 板 中 获得 数 
据 流 ， 由 此 在 Catalyst 6500 内 部 同时 完成 交换 和 安全 功能 ， 如 图 9-4 所 示 。 


图 9-4 IDSM-2 模块 
IDSM-2 模块 除了 可 以 和 IPS/IDS 4200 一 样 可 以 使 用 SPAN( 交 换 式 端口 分 析 器 )、 
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RSPAN( 远 程 交换 式 端 口 分 析 器 ) 的 方式 进行 流量 捕获 外 , 还 可 以 支持 VACL 的 方式 进行 流量 
捕获 ， 同 时 它们 使 用 的 软件 结构 完全 相同 ， 其 初始 化 方式 也 完全 相同 。 


下 面 描述 了 IPS/IDS 4200 和 IDSM-2 模块 的 初始 化 过 程 。 
如 果 使 用 的 是 IPS/IDS 4200， 可 以 直接 通过 Console 方式 进行 登录 。 如 果 使 用 的 是 IDSM-2 
模块 ， 则 需要 从 交换 机 的 特殊 模式 下 登录 到 该 模块 上 。 


Cat6500#session slot 6 processor 1 


对 IPS/IDS 4200 和 IDSM-2 模块 进行 初始 化 配置 ， 并 重新 启动 。 


sensor (config)# service host 
sensor (config-hos-net)#network-settings 
sensor (config-hos-net)#host-ip 192.168.1.200/24, 192.168.1.1 


// 配 置 管理 接口 TP 地 址 和 网 关 
sensor (config-hos-net)#host-name ips-sensor // 配 置 主机 名 
sensor (config-hos-net)#telnet-option enabled // 开 启 telnet 选 项 


sensor (config-hos-net)#access-list 192.168.1.0/24 // 配 置 管理 地 址 网 段 
sensor (config-hos-net)#exit 

sensor (config-hos)#time-zone-settings // 配 置 时 区 

sensor (config-hos-tim)#offset 8 

sensor (config-hos-tim)#standard-time-zone-name beijing 

sensor (config-hos-tim) #exit 

sensor (config-hos)#exit 

Apply Changes:?[yes]:yes 

Warning : Reboot is required before the configuration change will take effect 
Warning : The node must be rebooted for the changes to go into effect. 
Continue with reboot?[yes]:yes 


为 了 方便 管理 ， 重 新 启动 后 在 IDSM-2 模块 上 配置 Web 服务 ， 这 样 以 后 通过 浏览 器 就 可 以 
配置 该 模块 了 。 


sensor (config)# service web-server 
sensor (config-web)# enable-tls true 
sensor (config-web)# port 443 

sensor (config-web)# exit 

Apply Changes:? [yes]: yes 


4. 监控 流量 导入 IPS/IDS 
通常 ，IPS/IDS 使 用 SPAN 的 方式 在 核心 交换 机 上 对 复制 出 的 监控 流量 进行 分 析 。 对 村 


Uu 


远程 交换 机 的 流量 ， 可 以 通过 RSPAN 的 方式 进行 监控 ， 其 部 署 方式 如 图 9-5 所 示 。 
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Q SPAN 可 以 监控 多 个 VLAN， Cisco 6500 系列 交换 机 的 配置 的 方式 如 下 。 


Cat6500 (config)#no monitor session all 

Cat6500 (config)# monitor session 1 source vlan 10, 11, 100, 110 

Cat6500 (config)# monitor session 1 destination interface Fal/l encapsulation 
dotiq 


如 果 使 用 的 交换 机 是 Cisco 3750， 可 按 下 述 方法 进行 配置 。 


Cat3750 (config)# monitor session 1 source vlan 10 
Cat3750 (Config)# monitor session 1 destination interface  Gil/1/5 
encapsulation replicate 


© 若 要 对 远程 交换 机 进行 流量 控制 ， 则 需要 配置 RSPAN. 
在 远程 交换 机 做 如 下 配置 。 


Cat3750 (config)#vlan 500 

Cat3750 (config-vlan) fremote-span 

Cat3750(config)t* monitor session 1 source vlan 10 

Cat3750 (config)# monitor session 1 destination remote vlan 500 


在 本 地 交换 机 做 如 下 配置 。 


Cat3750 (config)#vlan 500 

Cat3750 (config-vlan) fremote-span 

Cat3750 (config)# monitor session 1 source remote vlan 500 
Cat3750(config)4 monitor session 1 destination interface fa0/12 


O 在 路 由 器 上 为 NM-CIDS 模块 配置 流量 映射。 


Router (config)# interface G0/0 
Router (config-if)# ids-service-module monitoring 


© IsDM?2 配置 方式 . ISDM-2 也 支持 SPAN 和 RSPAN 的 配置 ， 配 置 方式 和 前 述 IPS 4200 类 
似 。 


Cat3750 (config)#vlan 500 

Cat3750 (config-vlan)#remote-span 

Cat3750 (config)# monitor session 1 source vlan 10 

Cat3750 (config)# monitor session 1 destination remote vlan 500 

Cat6500 (config)#no monitor session all 

Cat6500 (config)# monitor session 1 source remote vlan 500 

Cat6500 (config)# monitor session 1 destination intrusion-detection-module 
6 data-port 1 


ISDM-2 还 支持 基于 VLAN 的 交换 式 端口 分 析 器 (VSPAN)， 其 配置 方式 如 下 。 


intrusion-detection module 6 management-port access-vlan 200 
intrusion-detection module 6 data-port 1 capture 
intrusion-detection module 6 data-port 1 capture allowed-vlan 10-15, 100-105 
! 

vlan access-map isdmvacl 10 

match ip address 100 

action forward capture 

vlan access-map isdmvacl 20 

match ip address 101 

action forward 

1 

vlan filter isdmvacl vlan-list 10-15, 100-105 
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1 
access-list 100 permit tcp any 192.168.1.0 0.0.0.255 
access-list 101 permit ip any any 


Q AsA AIPp-ssSM 可 以 通过 “https://<ASA-ip-address>ASDM” 上 的 软件 进行 配置 。 
5. 使 用 IDM 配置 NM-CIDS 


Cisco IDM(DS 设备 管理 器 ) 是 一 个 基于 Web 的 传感器 配置 和 管理 工具 ， 它 能 通过 
Internet Explorer、Netscape 或 Mozilla 等 浏览 器 来 访问 和 配置 NM-CIDS， 默 认 情 况 下 使 用 
SSL 连接 以 保证 通信 的 安全 。IDM 为 基于 Java 的 运行 平台 ， 并 且 需 要 控制 台 系 统 为 Java 分 
配 256MB 内 存 。 

下 面 简 要 地 介绍 一 下 通过 IDM 来 配置 和 管理 NM-CIDS 的 操作 过 程 。 
© 在 实施 NM-CIDS 管理 的 主机 上 ， 进 入 控制 面板 双击 Java 图 标 ， 如 图 9-6 所 示 。 
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© 在 Dava 控制 面板 】 对 话 框 中 ， 选 择 Java 选项 卡 ， 单 击 【设置 】 按 钮 ， 在 【JavaRuntime 
设置 〗 对 话 框 中 添加 “-Xmx256m”， 将 Java Runtime 所 使 用 的 内 存 调整 为 236MB， 如 图 
9-7 所 示 。 
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© 在 浏览 器 的 地 址 栏 中 输入 “https:/< NM-CIDS” 的 IP 地 址 以 访问 NM-CIDS， 这 时 会 提示 
输入 用 户 名 和 密码 ， 如 图 9-8 所 示 。 
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图 9-8 访问 IDM 
O 答 入 用 户 名 和 密码 后 ， 便 打开 IDM 控制 台 界 面 ， 如 图 9-9 所 示 。 
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9-9 IDM 控制 台 界 面 


© 选择 Licensing 结 点 ， 配置 IPS 进行 授权 信息 升级 .信息 升级 可 以 为 用 户 提供 动态 的 特征 
升级 服务 ， 保 障 IPS 系统 的 安全 性 ， 如 果 用 户 没 有 签订 IPS 特征 升级 服务 ， 可 以 在 Cisco 
网 站 利用 IPS 主机 序列 号 申请 60 天 的 试用 授权 。 这 种 试用 版 授权 只 能 申请 一 次 ， 为 了 保证 
IPS 持久 更 新 ， 建 议 购买 IPS 信息 库 升级 授权 . 升级 时 ， 可 以 选择 使 用 Cisco 网 站 进行 在 线 
升级 , 或 者 通过 网 上 申请 后 ,Cisco 会 将 授权 文件 发 往 申 请 人 的 邮箱 中 ,通过 文件 本 地 授权 ， 
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如 图 9-10 所 示 。 
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图 9-10 配置 license 


Q 完成 授权 后 , 才 可 以 升级 IPS 特征 库 . 特征 库 可 以 通过 在 Cisco 官方 网 站 下 载 后 , 通过 IDM 
选择 Update Sensor 进行 本 地 升级 ， 如 图 9-11 所 示 。 
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9-11 升级 特征 库 


o 依次 选择 Interface Configuration Interfaces 结 点 ， 并 选择 相应 的 接口 ， 单 击 Enabled 按钮 
开启 流量 采集 功能 ， 如 图 9-12 所 示 。 
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9-12 ”开启 流量 采集 功能 


o 依次 选择 Analysis Engine Virtual Sensor 结 点 ,将 所 使 用 的 监控 端口 加 入 到 vs 中 ,如 图 9-13 
所 示 。 
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9-13 ”将 端口 加 入 到 Virtual Sensor 中 
©  iesaps TIY PIX/ASA/FWSM 通过 SHUN 进行 联动 ， 与 Catalyst 6500 通过 VACL 进行 
联动 ， 与 ISR 路 由 器 通过 ACL 进行 联动 。 依 次 选择 Blocking Device Login Profiles 结 点 ， 
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为 IPS 配置 联动 设备 的 登录 用 户 名 ， 如 图 9-14 所 示 。 
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9-14 配置 Login Profile 


Q 依次 选择 Blocking 一 Blocking Devices 结 点 ， 配 置 相应 的 设备 ， 并 关联 上 一 步 配置 的 登录 策 
略 ， 如 图 9-15 所 示 。 
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9-15 配置 联动 设备 


© 在 Router Blocking Device Interface 和 Cat 6K Blocking Device Interface 结 点 中 ， 还 可 以 通过 
VACL, ACL 进行 配置 ， 如 图 9-16 Prom. 
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|a Add Router Blocking Device Interface @ a Add Cat 6K Blocking Device Interface e 
Router Blocking Device: (19216811 — $8) Cat 6K Blocking Device: (121561: ë A 
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OK Cancel Help 
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9-16 配置 ACL、VACL 


Q 我 们 可 以 使 用 两 种 方式 配置 IPS 与 网 络 设备 联动 时 所 执行 的 策略 。 一 种 是 单独 调节 特征 码 
的 执行 策略 ， 避 免 一 些 特征 码 误 报 而 产生 的 不 必要 的 拦截 。 依 次 选择 Signature Definition 
Signature Configuration 结 点 ， 并 在 右 侧 窗 格 选择 相应 的 Signature， 单 击 Disable 按钮 关闭 ， 
或 者 双击 配置 事件 的 行为 ， 如 图 9-17 所 示 。 
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9-17” 自 定义 特征 码 
[13] 依次 选择 Event Action Rules Event Action Overrides 结 点 ， 调 节 Rise Rating 进行 联动 配置 
并 且 这 样 的 方式 可 以 统一 执行 策略 ， 避 免 单独 调整 特征 库 的 行为 ， 如 图 9-18 所 示 。 
依次 选择 Event Action Rules 一 General Settings 结 点 ， 设 置 被 拦截 后 禁止 访问 的 时 间 ， 如 图 
9-19 所 示 。 
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9-18 配置 事件 响应 行为 
a Cheo tM 53 19216812 eee 
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9-19 配置 拦截 后 的 禁止 询问 的 时 间 


@ 对 于 一 些 关键 业务 段 ， 例 如 订单 处 理 系统 等 ， 我 们 为 了 防止 误 报 或 者 一 些 其 他 行为 导致 业 
务 中 断 ， 需 要 将 这 些 网 段 排除 在 监控 范围 外 。 配 置 方法 是 依次 选择 Blocking 一 Blocking 
Properties 结 点 ， 添 加 Never Block Address 属性 ， 如 图 9-20 所 示 。 
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图 9-20 ”添加 不 进行 监控 的 地 址 段 

6. 配置 IPS/IDS 工作 模式 

在 第 8 章 已 经 介绍 了 AIP-SSM 模块 可 以 配置 为 旁 挂 模式 和 串 行 模式 。 同 样 IPS 4200 和 
ISDM-2 也 可 以 配置 为 串 行 模式 。 

在 传统 的 旁 挂 模式 中 ，IPS 通过 监测 由 交换 机 复制 到 监控 口 的 流量 ， 进 行 入 侵 分 析 ， 并 
通过 Shun 消息 、ACL、VACL 控制 网 络 设备 ， 如 图 9-21(a) 所 示 。 但 是 ， 旁 挂 模式 也 有 一 些 


缺陷 , 例如 网 络 中 的 很 多 非 Cisco 的 设备 将 无 法 识别 入 侵 防御 产生 的 控制 消息 ,使 得 入 侵 防 
御 失 效 ， 因 此 我 们 需要 将 IPS 配置 为 串 行 模式 ， 如 图 9-21(b) 所 示 。 
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图 9-21 IPS 4200 接 入 模式 


© E IDM 控制 台 界 面 中 ， 选 择 Interface ConfigurationInterfaces 结 点 ， 并 选择 相应 的 接口 ， 
然后 单 击 Enabled 按钮 开启 流量 采集 功能 ， 如 图 9-22 所 示 。 
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© 选择 Interface Configuration 一 Interfaces Pairs 结 点 ， 配 置 接口 对 ， 
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9-22 ”开启 流量 采集 功能 


如 图 9-23 所 示 。 
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d 9-23 ”配置 接口 对 
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对 于 交换 机 内 置 的 ISDM-2 模块 ， 也 可 以 配置 Vlan Pairs， 如 图 9-24 所 示 。 
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9-24 配置 VLAN 对 


© ig Analysis Engine Virtual Sensor 结 点 ， 将 所 使 用 的 监控 接口 对 加 入 到 vs 中 ， 如 图 9-25 
所 示 。 
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© i Signature Definition Signature Configuration 结 点 , 在 右 侧 窗 格 中 选择 相应 的 特征 码 配 


码 检 测 到 攻击 , 在 串 行 模式 下 Enter Action 可 设置 为 Deny Attacker 


Inline, Deny Connection Inline, Deny Packet Inline 等 3 种 操作 ， 对 包 进 行 丢弃 ， 如 图 9-26 


所 示 。 
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[5] 选择 Interface Configuration Bypass 结 点 ， 打 开 Bypass 功能 ， 用 于 IPS 发 生 故 障 时 不 影响 
业务 数据 流 ， 如 图 9-27 所 示 。 
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9.3 Snort 


Snort 是 一 个 轻便 的 网 络 入 侵 检 测 系 统 , 可 以 完成 实时 流量 分 析 和 对 网 络 上 的 IP 包 登 录 
进行 测试 等 功能 ， 能 完成 协议 分 析 、 内 容 查找 / 匹配 ， 能 用 来 探测 多 种 攻击 和 嗅 探 (如 缓冲 
区 溢出 、 秘 密 断 口 扫描 、CGI 攻击 、SMB 嗅 探 、 指 纹 采 集 尝 试 等 )。 

Snort 有 3 种 工作 模式 : 嗅 探 器 、 数 据 包 记录 器 和 网 络 入 侵 检 测 。 嗅 探 器 模式 仅仅 是 从 
网 络 上 读 取 数 据 包 并 作为 连续 不 断 的 流 显示 在 终端 上 ; 数据 包 记录 器 模式 把 数据 包 记 录 到 
硬盘 上 ; 网 路 入 侵 检测 模式 是 最 复杂 的 ， 而 且 是 可 配置 的 ， 用 户 可 以 让 Snort 分 析 网 络 数据 
流 以 匹配 用 户 定义 的 一 些 规 则 ， 并 根据 检测 结果 采取 一 定 的 行动 。 

Snort 通常 与 ACID(Analysis Console for Intrusion Databases， 入 侵 数据 库 分 析 控 制 台 ) 配 
合 ， 在 基于 Apache+MysqHPHP 的 Linux 平台 上 进行 部 署 ， 下 面 简要 地 介绍 一 下 其 配置 
过 程 。 

Q 按照 下 述 步 驰 安 装 snort. 


tar zxvf snort-2.3.3.tar.gz 
tar zxvf snort-2.0.0.tar.gz 
cd snort-2.3.3 

./configure --with-mysql-/usr/local/mysql 
make 

make install 

cd rules 

mkdir /etc/snort 

mkdir /var/log/snort 

cp * /etc/snort 

ed. fete 

cp snort.conf /etc/snort 

cp *.config /etc/snort 


© 需要 在 mysql 中 为 Snort 创建 数据 库 . 


/usr/local/mysql/bin/mysql -uroot -pciscol23 
* create database snort; 
* grant INSERT, SELECT on root.* to snort@localhost; 
* exit 


e 配置 Snort 的 配置 文件 Snort.conf, 


Var HOME NET 192.168.0.0/24 

// 修 改 var HOME NET 为 需要 监控 的 LAN 地 址 段 

output database: log. mysql, user=root password-sadness123 dbname-snort 
host-localhost 

// 配 置 输出 到 mysql 数 据 库 ， 并 指定 数据 库 用 户 名 、 密 码 和 表 名 
var RULE PATH /etc/snort 

// 指 定 规则 库 的 路 径 

include SRULE PATH/web-attacks.rules 

include SRULE PATH/backdoor.rules 

include SRULE PATH/shellcode.rules 

include SRULE PATH/policy.rules 

include SRULE PATH/porn.rules 

include SRULE PATH/info.rules 

include SRULE PATH/icmp-info.rules 


dk db db ode d dk db db dk db dk db db 
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include $RULE PATH/virus.rules 
include $RULE PATH/chat.rules 
include $RULE PATH/multimedia.rules 
include $RULE PATH/p2p.rules 


// 引 用 相关 的 规则 库 ， 如 果 不 需 要 某 库 ， 可 以 通过 # 去 掉 
按照 下 述 步骤 安装 ACID. 


Cp acid-0.0.6b23.tar.gz /www/htdocs 
cd /www/htdocs 

tar -xvzf acid-0.9.6b23.tar.gz 

rm -rf acid-0.9.6b23.tar.gz 


配置 ACID 的 配置 文件 acid conf php. 


cd /www/htodcs/acid/ 
vi acid conf.php 
// 按 照 如 下 方式 进行 修改 
$DBlib path = "/usr/local/apache/htdocs/adodb" 
$ChartLib path = "/usr/local/apache/htdocs/jpgraph/src 
$alert dbname "snort"; 
$alert host "localhost"; 
$alert port PER 
$alert_user "root"; 
$alert_password = "ciscol23"; //mysql 密 码 


/* Archive DB connection parameters */ 
$archive_dbname "snort"; 
$archive_host localhost"; 

" 


$archive_port nur 
$archive user - "root"; 
$archive password = "ciscol23"; //mysql 密 码 


按照 如 下 方式 为 Snort 创建 启动 脚本 。 


* cd /usr/local/ 

* vi snort.sh 

// 洪 加 : 

#!/bin/sh 

snort -d -h 192.168.0.0/24 -1 /var/log/snort -c /etc/snort/snort.conf -i 
eth0 -A full 

// 完 成 后 关闭 该 文件 ， 并 配置 执行 权限 : 

# chmod 755 snort.sh 


启动 相关 服务 后 ， 通 过 登录 地 址 “http://<linux-ids-ipaddress>/acid/acid_main.php”， 依 次 单 
击 Setup Page 一 Create ACID AG 链接 ， 创 建 一 个 ACID AG， 如 图 9-28 所 示 。 


ACD tables 。 Adis tabe to extend ha Snor DG o support the ACD nctonity rud 


Search Indexet (Optional Adds indexes to the Snort DB to optimize the speed ofthe queries PONE 


[Loaded in 0 seconds] 


图 9-28 创建 ACIDAG 
“a 
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O 配置 完成 后 ， 用 户 可 以 通过 ACID 查看 到 Snort 日 志 ， 如 图 9-29 所 示 。 


Basic Analysis and Security Engine (BASE) 


9-29 查看 Snot 日 志 


9.4 DDoS 检测 与 防御 


1988 年 11 H 2 日 ， 一 个 名 叫 Robert Morris 开 的 大 学 生 写 了 一 个 逻辑 炸弹 一 一 蠕虫 程 
序 入 侵 Internet. 这 个 蠕虫 程序 在 Internet. 上 快速 传播 , 当时 造成 整个 网 络 中 15%( 大 约 6000 
个 ) 的 系统 都 受到 感染 并 停止 运行 。 这 就 是 第 一 次 的 Dos 攻击 。 
从 20 世纪 90 年 代 到 现在 ，DoS 技术 主要 经 历 的 阶段 如 下 所 述 。 
> ”技术 发 展 时 期 。90 年 代 ，Intemet 开始 普及 ， 很 多 新 的 Dos 技术 涌现 。90 ERK 
发 明和 研究 过 许多 新 的 技术 ， 其 中 大 多 数 技术 至 今 仍 然 有 效 ， 且 应 用 频 度 相当 高 。 
著名 的 Dos. 攻击 方式 如 Ping of death、smurf、SYN flooding 等 。 
仿 “ 从 实验 室 向 “产业 化 ”转换 。2000 年 前 后 ，DDoS 出 现 ，Yahoo、Amazon 等 多 个 
著名 网 站 受到 攻击 并 瘫痪 。 另 外 还 有 Codered、SQL slammer 等 蠕虫 造成 的 事件 。 
令 “商业 时 代 ”。 最 近 一 两 年 ， 宽 带 的 发 展 使 得 接 入 带宽 增加 ， 个 人 电脑 性 能 大 幅 
提高 ， 使 DDoS 攻击 越 来 越 频繁 ， 可 以 说 随处 可 见 ， 而 且 也 出 现 了 更 专业 的 出 租 
“Botnet”( 僵 尸 网 络 ) 的 “DDoS 攻击 经 济 ”。 可 以 说 DDoS 攻击 的 威胁 已 经 无 处 
不 在 ， 而 且 这 样 的 攻击 已 经 出 现 逐 渐 转 化 成 一 种 新 型 犯罪 行为 的 趋势 。 


9.4.1 DDoS 攻击 原理 


DDoS 攻击 通过 大 量 的 数据 流量 使 得 网 络 设备 和 服务 器 不 堪 重 负 , 或 者 构造 特殊 的 报 文 
使 得 服务 器 发 出 大 量 的 响应 而 耗 光 资 源 。 这 样 的 做 法 具有 明显 的 目的 性 ， 使 得 被 攻击 方 服 
务 瘫痪 ， 从 而 导致 其 受到 巨大 的 商业 损失 ， 同 时 还 伴随 着 巨大 的 信誉 损失 。 

在 2002 年 , DDoS 攻击 开始 针对 全 球 DNS 服务 器 进行 攻击 , 使 得 全 球 互 联网 服务 一 度 
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出 现 异常 ， 后 来 还 发 生 了 针对 Google. Baidu 等 搜索 引擎 的 攻击 。 
攻击 者 通常 使 用 一 台 主 机 控制 一 系列 被 感染 的 主机 ， 通 过 这 些 主机 发 起 大 量 的 攻击 流 
量 。 通 常 我 们 将 这 些 被 感染 的 主机 称 为 “Botnet”( 僵 尸 网 络 ) ， 如 图 9-30 所 示 。 


PP 


"s 数据 中 心 P 


攻击 者 


9-30 DDoS 攻击 实例 图 
9.4.2 ”传统 的 DDoS 防御 方式 


1. 防御 Trinoo 
Trinoo 的 攻击 方法 是 向 被 攻击 目标 主机 的 随机 端口 发 出 全 零 的 4 字 节 UDP 包 , 在 处 理 
这 些 超出 其 处 理 能 力 的 垃圾 数据 包 的 过 程 中 ， 被 攻击 主机 的 网 络 性 能 不 断 下 降 ， 直 到 不 能 
提供 正常 服务 ， 乃 至 崩溃 。 它 对 IP 地 址 不 做 假 ， 采 用 的 通信 协议 和 端口 号 如 表 9-1 所 示 。 
表 9-1 Trinoo 的 攻击 通信 协议 与 端口 号 


通信 端口 号 
攻击 者 主机 到 主 控 端 主机 27665 
主 控 端 主机 到 代理 端 主机 27444 
代理 端 主机 到 主 服务 器 主机 31335 


下 面 是 在 路 由 器 上 通过 一 个 命名 扩展 了 P 访问 控制 列表 来 防御 Trinoo 攻击 的 例子 。 


Router (config)# ip access-list extended trinoo 

Router (config-ext-nacl)# deny tcp any any eq 1524 
Router(config-ext-nacl)£ deny tcp eq 1524 any any 
Router(config-ext-nacl)£ deny udp eq 1524 any any 
Router(config-ext-nacl)f£ deny tcp any any eq 27665 
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Router(config-ext-nacl)£ deny tcp any eq 27665 any 
Router(config-ext-nacl)£ deny udp any any eq 27444 
Router(config-ext-nacl)£ deny udp any eq 27444 any 
Router(config-ext-nacl)£* deny udp any any eq 31335 
Router(config-ext-nacl)£ deny udp any eq 31335 any 
Router(config-ext-nacl)£ exit 

Router (config)# interface Gil/O 

Router (config-if)# ip access-group trinoo out 
Router (Config-if)# ip access-group trinoo in 


2. 防御 TFN 


TEN 由 主 控 端 程序 和 代理 端 程序 两 部 分 组 成 ， 它 主要 采取 的 攻击 方法 为 SYN Flood. 
Ping Flood, UDP 炸弹 和 SMURF， 具 有 伪造 数据 包 的 能 力 。 其 中 ，SYN Flood 应 对 当前 最 
流行 的 DoS( 拒 绝 服务 攻击 ) 与 DDoS( 分 布 式 拒绝 服务 攻击 ) 的 方式 之 一 ， 这 是 一 种 利用 TCP 
协议 缺陷 , 发 送 大 量 伪 造 的 TCP 连接 请 求 ， 从 而 使 得 被 攻击 方 资源 耗 尽 (CPU 满 负 荷 或 内 存 
不 足 ) 的 攻击 方式 。 对 于 SYN Flood 攻击 ， 目 前 尚 没有 很 好 的 监测 和 防御 方法 ， 不 过 如 果 系 
统管 理 员 熟悉 攻击 方法 和 系统 架构 ， 通 过 一 系列 的 设 定 ， 也 能 从 一 定 程度 上 降低 被 攻击 系 
统 的 负荷 ， 减 轻 负 面 的 影响 。 

下 面 是 在 路 由 器 上 通过 一 个 命名 扩展 卫 访问 控制 列表 来 防御 TEN 的 例子 。 


Router (config)# ip access-list extended TFN-in 

Router (config-ext-nacl)# permit icmp any host 10.0.0.1 echo-reply 
Router(config-ext-nacl)£ deny icmp any any echo-reply 
Router(config-ext-nacl)f£ exit 

Router (config)# ip access-list extended TFN-out 
Router(config-ext-nacl)£ deny icmp any any echo-reply 
Router(config-ext-nacl)f£ exit 

Router (config)# interface Gil/O 

Router (config-if)# ip access-group TFN-out out 

Router(config-if)£* ip access-group TFN-in in 


3. 防御 Stacheldraht 


Stacheldraht 是 从 TFN 派生 出 来 的 ， 因 此 它 具 有 TEN 的 特性 。 此 外 它 增 加 了 主 控 端 与 
代理 端的 加 密 通 信 能 力 ， 它 对 命令 源 做 假 ， 可 以 防范 一 些 路 由 器 的 RFC2267 过 滤 。 
Stacheldraht 中 有 一 个 内 嵌 的 代理 升级 模块 ， 可 以 自动 下 载 并 安装 最 新 的 代理 程序 。 

下 面 是 在 路 由 器 上 通过 一 个 命名 扩展 卫 访问 控制 列表 来 防御 Stacheldraht 攻击 的 
例子 。 


Router (config)# ip access-list extended Stacheldraht-in 
Router(config-ext-nacl)£$ permit icmp any host 10.0.0.1 echo-reply 
Router(config-ext-nacl)£ deny icmp any any echo-reply 
Router(config-ext-nacl)£ deny tcp any any eq 16660 
Router(config-ext-nacl)$ deny tcp any eq 16660 any 
Router(config-ext-nacl)£* deny tcp any any eq 65000 
Router(config-ext-nacl)£ deny tcp any eq 65000 any 
Router(config-ext-nacl)£* exit 

Router (config)# ip access-list extended Stacheldraht-out 
Router(config-ext-nacl)f£ deny icmp any any echo-reply 
Router(config-ext-nacl)£* deny tcp any any eq 16660 
Router(config-ext-nacl)£ deny tcp any eq 16660 any 
Router(config-ext-nacl)£ deny tcp any any eq 65000 
Router(config-ext-nacl)f£ deny tcp any eq 65000 any 
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Router (config-ext-nacl)# exit 

Router (config)# interface Gil/0 

Router (config-if)# ip access-group Stacheldraht-out out 
Router (config-if)# ip access-group Stacheldraht-in in 


4. 防御 Trinity 


Trinity 联合 了 Trinoo, TFN2K. Stacheldraht. Shaft 和 其 他 程序 ， 启 动 分 布 式 拒绝 服务 
(DDoS) 攻 击 。 DDoS 攻击 是 指 攻击 者 将 软件 秘密 嵌入 成 百 上 千 台 计算 机 , 在 特定 命令 或 时 间 
下 ， 让 受 感染 主机 向 目标 机 器 发 送 消息 。 由 Internet 发 来 的 大 量 消息 能 够 有 效 地 耗竭 了 目标 
服务 器 ， 使 Web 站 点 无 法 被 其 他 网 络 用 户 访问 。DDoS 曾经 导致 主要 Internet 厂商 如 Yahoo 
和 Amazon 等 公司 的 Web 站 点 临时 关闭 。 

下 面 是 在 路 由 器 上 ， 通 过 一 个 命名 扩展 卫 访问 控制 列表 来 防御 Trinity 的 例子 。 


Router (Config)# ip access-list extended trinity 
Router(config-ext-nacl)£ deny tcp any any range 6665 6669 
Router(config-ext-nacl)£ deny tcp any range 6665 6669 any 
Router(config-ext-nacl)£$ deny tcp any any eq 33270 
Router(config-ext-nacl)£ deny tcp any eq 33270 any 
Router(config-ext-nacl)£ deny tcp any any eq 39168 
Router(config-ext-nacl)£ deny tcp any eq 39168 any 
Router(config-ext-nacl)f£ exit 

Router (config)# interface Gil/O 

Router (config-if)# ip access-group trinity out 

Router (config-if)# ip access-group trinity in 


5. 防御 SQL Slammer Worm 


SQL Slammer Worm 是 一 个 新 的 Internet 蠕虫 病毒 ， 此 病毒 利用 了 微软 SQL Server 2000 
的 远程 堆栈 缓冲 区 溢出 漏洞 ， 主 要 攻击 Windows 操作 系统 中 的 SQL Server 2000 服务 器 。 

SQL 的 UDP 的 1434 端口 主要 用 于 客户 端 查询 可 用 的 连接 方式 , 但 由 于 程序 上 的 漏洞 ， 
当 客 户 端 发 送 超 长 数据 包 时 ， 将 导致 缓冲 区 溢出 ， 恶 意 黑客 便利 用 此 漏洞 在 远程 机 器 上 执 
行 准 备 好 的 恶意 代码 ， 将 病毒 放 到 Intemet 上 。 感 染病 毒 的 机 器 将 不 断 向 外 发 送 这 种 UDP 

下 面 是 在 路 由 器 上 ， 通 过 一 个 命名 扩展 也 访问 控制 列表 来 防御 SQL Slammer Worm 的 
例子 。 


Router (config)# ip access-list extended slammer 
Router (config-ext-nacl)# deny udp any any eq 1434 
Router(config-ext-nacl)£ deny tcp any any eq 1433 
Router (config-ext-nacl)# exit 

Router (config)# interface Gil/0 

Router (config-if)# ip access-group slammer in 
Router (config-if)# ip access-group slammer out 


6. 防御 微软 RPC 漏洞 攻击 

Remote Procedure Call(RPC) 是 Windows 操作 系统 使 用 的 一 种 远程 过 程 调 用 协议 。RPC 
协议 提供 一 种 进程 间 的 交互 通信 机 制 ， 允 许 本 地 机 器 上 的 程序 进程 无 缝 地 在 远程 系统 中 运 
行 代码 。 由 于 部 分 RPC 在 使 用 TCP/IP 协议 处 理 信息 交换 时 , 不 能 正确 地 处 理 畸 形 的 消息 从 
而 导致 存在 一 个 安全 漏洞 。 该 漏洞 影响 使 用 RPC 的 DCOM 接口 , 这 个 接口 用 来 处 理由 客户 
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端 机 器 发 送 给 服务 器 的 DCOM 对 象 激活 请 求 (如 UNC 路 径 )。 下 面 是 在 路 由 器 上 , 通过 一 个 
命名 扩展 中 访问 控制 列表 来 防御 微软 RPC 漏洞 攻击 的 例子 。 


Router (config)# ip access-list extended ms-rpc 
Router (config-ext-nacl)# deny tcp any any eq 135 
Router(config-ext-nacl)£ deny udp any any eq 135 
Router(config-ext-nacl)£ deny udp any any range 137 139 
Router(config-ext-nacl)£ deny tcp any any eq 139 
Router(config-ext-nacl)£ deny tcp any any eq 445 
Router(config-ext-nacl)£ deny tcp any any eq 593 
Router(config-ext-nacl)£* deny tcp any any eq 4444 
Router (config-ext-nacl)# exit 

Router (config)# interface Gil/0 

Router (config-if)# ip access-group ms-rpc in 
Router (config-if)# ip access-group ms-rpc out 


7. 利用 CBAC 防御 DDoS 


基于 内 容 的 访问 控制 (CBAC) 是 对 Cisco 传统 访问 列表 的 扩展 , 它 基于 应 用 层 会 话 信息 ， 
能 够 智能 地 过 滤 TCP 和 UDP 数据 包 ， 防 止 DDoS 攻击 。 

CBAC 通过 设置 超时 限 值 和 会 话 门限 值 来 决定 会 话 的 维持 时 间 以 及 何 时 删除 半 连 接 。 
对 于 TCP 而 言 ， 半 连接 是 指 一 个 没有 完成 三 阶段 握手 过 程 的 会 话 。 对 UDP 而 言 ， 半 连接 是 
指 路 由 器 没有 检测 到 返回 流量 的 会 话 。 

CBAC 正 是 通过 监视 半 连 接 的 数量 和 产生 的 频率 来 防止 洪水 攻击 。 每 当 有 不 正常 的 半 
连接 建立 或 者 在 短 时 间 内 出 现 大 量 半 连 接 的 时 候 ， 用 户 可 以 判断 是 否 遭 受 了 洪水 攻击 。 
CBAC 每 分 钟 检测 一 次 已 经 存在 的 半 连 接 数量 和 试图 建立 连接 的 频率 ， 当 已 经 存在 的 半 连 
接 数 量 超 过 了 门限 值 ， 路 由 器 就 会 删除 一 些 半 连接 ， 以 保证 新 建立 连接 的 需求 。 同 样 ， 当 
试图 建立 连接 的 频率 超过 门限 值 ， 路 由 器 就 会 采取 相同 的 措施 ， 删 除 一 部 分 连接 请 求 。 通 
过 这 种 连续 不 断 的 监视 和 删除 ，CBAC 可 以 有 效 防止 SYN Flood 和 Fraggle 攻击 。 

下 面 是 利用 CBAC 防止 DDos 的 配置 过 程 。 

图 设置 一 些 门限 值 ， 超过 门限 值 时 路 由 回 就 会 删除 一 些 半 连接 . 


Router (config)# ip inspect tcp synwait-time 20 

Router (config)# ip inspect tcp idle-time 60 

Router (config)# ip inspect udp idle-time 20 

Router (config)# ip inspect max-incomplete high 400 

Router (config)# ip inspect max-incomplete low 300 

Router (config)# ip inspect one-minute high 600 

Router (config)# ip inspect one-minute low 500 

Router (config)# ip inspect tcp max-incomplete host 300 block-time 0 


O 配置 对 半 开 放 连 接 的 限制 ， 以 控制 DDoS 攻击 。 


Router (config)#access-list 100 permit ip any host 192.168.1.1 
Router (config)#ip tcp intercept list 100 

Router (config)#ip tcp intercept max-incomplete high 10 

Router (config)#ip tcp intercept one-minute high 15 

Router (config)#ip tcp intercept max-incomplete low 5 

Router (config)#ip tcp intercept one-minute low 10 


© iussum. 
Router (config)#ip tcp intercept drop-mode random 
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Router (config)#ip tcp intercept watch-timeout 15 
Router (config)#ip tcp intercept mode watch 


9.4.3 ”新 型 DDoS 保护 策略 


传统 的 DDoS 防御 方式 过 于 被 动 ， 仅 限于 对 已 有 的 一 些 攻击 进行 过 滤 。 国 内 外 众多 厂 
商 生 产 的 防火 墙 ( 如 NetScreen-100, Fortigate-300, Nokia Firewall-I 等 ) 仅 能 承受 30 一 40Mbps 
的 流量 ， 而 一 台 普 通 P3800 的 PC 在 Linux 环境 下 可 以 产生 50Mbps 的 DDoS 流量 。 即 便 是 
一 些 千 兆 硬 件 防火 墙 ( 如 Netscreen-Giga、Fortigate-2000、 天 融 信 等 ) 也 无 法 抵挡 大 量 的 攻击 ， 
Afi] Sec KRE, Ae d rper. 

新 型 的 DDoS 防御 系统 通常 采用 多 级 流量 异常 检测 的 方法 进行 流量 过 滤 ， 通 常 国内 的 
一 些 广 商 使 用 串 行 模式 进行 异常 过 滤 ， 如 图 9-31 所 示 。 


正常 流量 
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图 9-31 íF DDoS 过 滤 设 备 


是 行 部 署 方 式 可 以 不 需要 DDoS 攻击 检测 设备 ， 直 接 放置 于 需要 防护 的 设备 前 端 。 但 
这 样 的 部 署 方式 对 于 大 规模 部 署 ， 需 要 较 多 的 投资 ， 同 时 在 大 流量 攻击 下 ， 这 类 设备 通常 
容易 产生 性 能 瓶颈 ， 如 果 攻 击 使 这 些 设备 瘫痪 ， 正 常 业务 也 会 中 断 。 
串 行 的 流量 过 滤 方 式 还 有 一 个 缺点 是 仅 能 看 到 局 部 流量 的 异常 情况 ， 无 法 追踪 攻击 源 ， 
并 在 有 效 的 位 置 进 行 攻 击 流量 过 滤 。 因 此 现在 很 多 厂商 开始 支持 基于 旁 挂 模式 的 DDoS 过 
滤 系 统 。 旁 挂 式 系统 通常 由 两 个 组 件 构成 ， 一 个 是 过 滤器 ， 另 一 个 是 检测 器 。Cisco、 绿 盟 
等 厂商 的 DDoS 防范 解决 方案 采用 的 是 这 种 方式 。 如 图 9-32 所 示 。 

Cisco 提供 了 Detector 和 Guard 两 种 设备 用 于 DDoS 过 滤 ，Detector 通过 旁 挂 在 受 保护 
的 设备 上 进行 流量 检测 ， 当 出 现 攻击 后 ， 将 消息 通过 SSH 传送 到 Guard, Guard 通过 BGP 
路 由 协议 发 送 通告 给 前 端 路 由 器 , 将 攻击 流量 引入 Guard 丢弃 .除了 BGP 路 由 回 送 外 , Cisco 
还 支持 VRF、GRE、L2TP 等 方式 ， 适 合 运营 商用 户 。 除 了 提供 使 用 IBM X345 服务 器 平台 
的 外 置 异 常 检 测 和 异常 过 滤 设 备 外 ，Cisco 还 在 Catalyst 6500 和 7600 上 提供 了 内 置 的 模块 ， 
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极 大 地 提高 了 设备 的 安全 性 ， 如 图 9-33 所 示 。 
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9-32 Zi DDoS 过 滤 设 备 
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9-33 Cisco DDoS 防御 设备 


除了 使 用 Cisco 专用 的 DDoS Traffic Anomaly Detector 外 ， 还 可 以 使 用 基于 NetFlow 的 
方式 进行 流量 监控 。NetFlow 可 以 统计 记录 网 络 中 数据 包 的 源 目的 地 址 、 端 口号 等 信息 ,将 
这 些 信息 收集 整理 分 析 后 ， 就 可 以 发 现 网 络 通信 的 规律 。 在 Cisco 多 数 的 路 由 交换 设备 中 ， 
有 专门 的 硬件 芯片 和 软件 特性 实现 NetFlow. 而 最 新 的 NetFlow 9 已 被 选中 参与 IETF 标准 ， 
在 成 为 标准 前 ， 这 一 技术 已 经 得 到 了 业界 广泛 的 支持 ， 用 户 可 以 找到 很 多 家 厂家 提供 的 收 


集 交 换 机 路 由 器 NetFlow fiij 


、 汇 总 分 析 的 软件 。 用 户 甚 至 可 以 找到 开放 源 代码 或 者 免费 


的 软件 来 收集 分 析 NetFlow 信息 , 如 图 9-34 所 示 。 因 此, 对 于 运营 商 而 言 , 通常 使 用 NetFlow 
的 方式 进行 异常 流量 检测 和 DDoS 攻击 防御 。 

Arbor Networks PeakFlow SP(http://www.arbometworks.conmy) 是 一 个 可 扩展 的 平台 ,可 以 
提供 一 个 全 面 的 解决 方案 ， 为 电信 运营 商 及 其 客户 提供 强大 的 DDoS 检测 防御 、 流 量 和 路 
由 功能 。 PeakFlow SP 能 让 电信 运营 商 可 以 为 他 们 的 企业 客户 提供 可 扩展 的 DDoS 检测 防御 
和 流量 管理 工具 ， 也 可 以 帮助 网 络 管理 人 员 主 动 地 检测 和 清除 整个 网 络 中 的 异常 情况 ， 例 


如 DDoS Xil 


HAIE. PeakFlow SP 的 流量 和 路 由 功能 可 以 分 析 流 量 网 络 ， 让 操作 人 员 可 以 


及 时 地 针对 路 由 、 传 输 、 合 作 伙伴 和 客户 制定 业务 决策 ， 如 图 9-35 所 示 。 
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Protocol Totalflows Flow Packets Bytes Packets Active(Sec) ldle(Sec) 
JSec [How /Pkt ^ Sec [How [Flow 
TCP-Telent 2656855 — 43 86 78 3723 49.6 27.6 
TCP-FTP — 5900082 — 95 s n 8658 114 331 
TCP-FTPD — 3200453 — 51 193 461 — 10063 458 334 
TCP-WWW 546778274 8873 — 12 325 11708 8&0 323 
TCP-SMTP 25536863 414 21 283 8765 10.9 as ] 
TcpX 116391 01 231 250 438 682 273 
TCP-BGP — 24520 00 28 26 11 26.2 ao | 
TCP-Frag — 56847 0.0 24 952 22 B1 33.2 
TCP-other 49148540 79.7 47 338 3752.6 30.7 322  ] 
UDP-DNS 117240379 1902 3 112 — 5708 75 347 
UDP-NTP 93/8259 152 1 76 162 22 37 ] 
UDP-TFTP — 8077 0.0 3 62 0.0 Ey] 332 
UDP-Frag 51161 00 14 32 — 12 110 a4 1] 
UDP-other 45502422 738 30 174 2227 85 378 
ICMP 14837957 240 5 224 — 1258 12.1 343 
IGMP 40916 [rj] 170 207 113 1973 115 
IPINIP 3988 0.0 48713 — 393 — 3152 $442 iss 1] 
GRE 3838 00 79 10 04 413 259 
IP-other — 77406 01 AT 259 59 S24 zio ] 
Total 820563238 13317 15 304 — 20630 98 310 


9-34 NetFlow 生成 的 报表 


9-35 Arbor PeakFlow 


PeakFlow SP 可 以 利用 它 的 双 层 收 集 器 架构 进行 扩展 。 这 些 收集 器 可 以 从 多 个 路 由 器 和 
一 个 控制 器 获取 NetFlow 统计 数据 。 控 制 器 可 以 协调 事件 关联 和 对 事件 进行 追溯 。 当 
PeakFlow SP 与 Cisco Guard 结合 提供 DDoS 防御 功能 时 ， 一 旦 通过 收集 器 获得 某 个 区 域 的 
异常 信息 ， 控 制 器 就 会 建立 SSH 连接 ， 启 用 Cisco Guard， 将 受 攻击 区 域 置 于 保护 模式 。 

运营 商 基 于 Arbor PeakFlow SP 和 Cisco Guard XT 的 部 署 方式 如 图 9-36 所 示 。 


9-36 DDoS 防御 系统 (基于 Arbor PeakFlow 和 Cisco Guard XT) 
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通常 运营 商 还 可 以 使 用 的 方式 , 使 用 PeakFlow SP 托管 用 户 网 络 的 NetFlow 数据 , 并 建 
立 多 个 较 大 的 清洗 中 心 集中 清洗 攻击 流量 。 客 户 端 仅 需 按 如 下 方式 配置 NetFlow， 并 指向 
Arbor PeakFlow SP 即 可 。 


Router (config)#ip flow-export source GigabitEthernet0/1 

Router (config)#ip flow-export destination 192.168.1.1 5544 

Router (config)#ip flow-export version 5 

Router(config)£interface GigabitEthernet 0/0 

Router(config-if)ftip flow ingress 

Router (config-if)#ip flow egress 

Router (config) #interface GigabitEthernet 0/2 

Router (config-if)#ip flow ingress 

Router (config-if)#ip flow egress 

但 是 ， 基 于 NetFlow 的 检测 方式 还 存在 一 些 漏洞 。 一 是 NetFlow 的 DDoS 监测 功能 不 
如 Detector 那样 准确 。Detector 是 每 包 检 查 ， 而 NetFlow 只 是 数 一 个 总 的 数据 包 的 个 数 ， 甚 
至 是 做 取样 的 。 对 于 很 多 包 个 数 变化 并 不 明显 的 攻击 ( 称 之 为 low-rate 攻击 ) 和 一 些 基 于 应 用 
的 攻击 , NetFlow 就 无 能 为 力 。 二 是 NetFlow 通常 按 一 定 的 时 间 间 隔 传送 到 Arbor PeakFlow, 
对 于 一 些 实效 性 较 强 的 应 用 无 法 及 时 的 作出 响应 。 


的 点 评 与 拓展 : 随 着 互联 网 的 迅猛 发 展 ， 攻 击 手法 已 经 出 现 明显 的 集团 化 趋势 ， 特 
别 是 最 近 的 很 多 DDoS 攻击 ， 具 有 明显 的 目的 性 。 而 这 样 的 攻击 触发 仅 需 极 少 的 金钱 就 可 以 
获得 一 个 规模 庞大 的 僵尸 网 络 .因此 互联 网 DDoS 攻击 防御 成 为 网 络 安全 中 非常 重要 的 因素 。 
对 于 一 些 内 容 服 ， 务 提供 商 和 电子 商务 运营 商 而 言 ， 它 们 将 非常 需要 这 样 的 设备 来 维护 其 
网 络 安全 。 


9.5 本 章 小 结 


本 章 介绍 了 入 侵 检测 及 相应 的 防御 策略 以 及 IPS/IDS 的 工作 原理 ， 并 介绍 了 Cisco IOS 
IPS、AIP-SSM、IDSM-2 以 及 IPS 4200 系列 产品 的 配置 方法 ， 还 介绍 了 基于 IDM 的 配置 方 
式 。 之 后 , 介绍 了 基于 Linux 的 IDS 配置 , 通过 SNORT 和 ACID 的 结合 构建 了 一 种 免费 的 
入 侵 检测 平台 ， 但 是 其 检测 规则 升级 较为 不 便 。 在 本 章 的 最 后 部 分 ， 介 绍 了 常见 的 DDoS 
攻击 以 及 防御 DDoS 攻击 的 方法 。 下 一 章 我 们 将 介绍 用 户 远程 接 入 网 络 的 一 些 安全 性 配置 。 
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通常 ， 很 多 公司 的 分 支 机 构 希 望 使 用 一 种 安全 的 方式 访问 总 部 的 网 络 ， 但 这 些 链 路 通 
常 需要 通过 Internet， 如 果 不 使 用 相应 的 加 密 措 施 ， 数 据 安 全 性 很 难保 障 。 同 时 ， 很 多 公司 
希望 给 员工 创造 远程 办 公 的 环境 ， 因 此 也 需要 为 员工 提供 安全 的 远程 访问 机 制 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

* IPSec VPN 


* SSL VPN 
信 ”配置 基于 ISA Server 2004 VPN 
+ HEH Linux VPN 


10.1 VPN 概述 


10.1.1. VPN 简介 


虚拟 专用 网 络 (VPN) 是 一 种 新 型 的 网 络 技术 ， 它 为 我 们 提供 了 一 种 通过 公用 网 络 (如 最 
大 的 公用 因特网 ) 安 全 地 对 企业 内 部 专用 网 络 进行 远程 访问 的 连接 方式 。 我 们 知道 一 个 网 络 
连接 通常 由 3 个 部 分 组 成 : 客户 机 、 传 输 介质 和 服务 器 。VPN 网 络 同样 也 需要 这 3 部 分 ， 
不 同 的 是 VPN 连接 不 是 采用 物理 的 传输 介质 ， 而 是 使 用 一 种 称 为 “隧道 ”的 东西 来 作为 传 
输 介 质 的 ， 这 个 隧道 是 建立 在 公共 网 络 或 专用 网 络 基础 之 上 的 ， 例 如 因特网 或 专用 Intranet 
等 。 同 时 , 要 实现 VPN 连接 , 企业 内 部 网 络 中 必须 配置 一 台 基 于 Windows NT. Windows 2000 
Server 或 Windows Server 2003 的 VPN 服务 器 ， 或 者 使 用 一 台 支 持 VPN 功能 的 防火 墙 或 路 
由 器 来 充当 VPN 服务 器 。VPN 服务 器 一 方面 连接 企业 内 部 专用 网 络 (LAN)， 另 一 方面 要 连 
接 到 因特网 或 其 他 专用 网 络 , 这 就 要 VPN 服务 器 必须 拥有 一 个 公用 的 他 地址 , 也 就 是 说 企 
业 必 须 先 拥有 一 个 合法 的 Internet 或 专用 网 域名 。 当 客户 机 通过 VPN 连接 与 专用 网 络 中 的 
计算 机 进行 通信 时 ， 先 由 NSP( 网 络 服务 提供 商 ) 将 所 有 的 数据 传送 到 VPN 服务 器 ， 然 后 再 
由 VPN 服务 器 将 所 有 的 数据 传送 到 目标 计算 机 。 因 为 在 VPN. 隧道 中 通信 能 确保 通信 通道 
的 专用 性 ， 并 且 传 输 的 数据 是 经 过 压缩 、 加 密 的 ， 所 以 VPN 通信 同样 具有 专用 网 络 的 通信 
安全 性 。 


10.1.2. VPN 分 类 


1. GRE 
GRE(Generic Routing Encapsulation， 路 由 封装 ) 主 要 用 于 源 路 由 和 终 路 由 之 间 所 形成 的 
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地 址 放 入 隧道 中 。 当 报 文 到 达 隧 道 终点 时 ，GRE 报 文 头 被 剥 掉 ， 继 续 按 原始 报 文 的 目标 地 
址 进行 寻 址 。GRE 隧道 通常 是 点 到 点 的 ， 即 隧道 具有 一 个 源 地址 和 一 个 终 地 址 。 然 而 也 有 
一 些 实现 允许 点 到 多 点 ， 即 一 个 源 地 址 对 多 个 终 地 址 。 这 时 候 就 要 和 下 一 跳 路 由 协议 
(Next-Hop Routing Protocol，NHRP) 结 合 使 用 。NHRP 主要 是 为 了 在 路 由 之 间 建 立 捷径 。 

GRE 隧道 用 来 建立 VPN 有 很 大 的 吸引 力 。 从 体系 结构 的 观点 来 看 ，VPN 就 像 是 通过 
普通 主机 网 络 的 隧道 集合 。 普 通 主机 网 络 的 每 个 点 都 可 利用 其 地 址 以 及 路 由 所 形成 的 物理 
连接 ， 配 置 成 一 个 或 多 个 隧道 。 在 GRE 隧道 技术 中 ， 入 口 地址 用 的 是 普通 主机 网 络 的 地 址 
空间 ， 而 在 隧道 中 流动 的 原始 报 文 用 的 是 VPN 的 地 址 空间 ， 这 样 反 过 来 就 要 求 隧道 的 终点 
应 该 配置 成 VPN 与 普通 主机 网 络 之 间 的 交界 点 。 这 种 方法 的 好 处 是 使 VPN 的 路 由 信息 从 
普通 主机 网 络 的 路 由 信息 中 隔离 出 来 ,多 个 VPN 可 以 重复 利用 同一 个 地 址 空间 而 没有 冲突 ， 
这 使 得 VPN 从 主机 网 络 中 独立 出 来 ， 从 而 满足 了 VPN 的 关键 要 求 : 可 以 不 使 用 全 局 唯一 
的 地 址 空间 。 隧 道 也 能 封装 数量 众多 的 协议 族 ， 减 少 实现 VPN 功能 函数 的 数量 。 还 有 ， 对 
许多 VPN 所 支持 的 体系 结构 来 说 ， 用 同一 种 格式 来 支持 多 种 协议 同时 又 保留 协议 的 功能 ， 
这 是 非常 重要 的 。IP 路 由 过 滤 的 主机 网 络 不 能 提供 这 种 服务 ， 而 只 有 隧道 技术 才能 把 VPN 
私有 协议 从 主机 网 络 中 隔离 开 来 。 基 于 隧道 技术 的 VPN. 实现 的 另 一 特点 是 对 主机 网 络 环境 
和 VPN 路 由 环境 进行 隔离 。 对 VPN 而 言 主机 网 络 可 看 成 点 到 点 的 电路 集合 ，VPN 能 够 用 
其 路 由 协议 穿 过 符合 VPN 管理 要 求 的 虚拟 网 。 同 样 ， 主 机 网 络 使 用 符合 网 络 要 求 的 路 由 设 
计 方 案 ， 而 不 必 受 VPN 用 户 网 络 的 路 由 协议 限制 。 

虽然 GRE 隧道 技术 有 很 多 优点 ， 但 使 用 其 技术 作为 VPN 机 制 也 有 缺点 ， 例 如 管理 费 
用 高 、 隧 道 的 规模 数量 大 等 。 因 为 GRE 是 由 手工 配置 的 ， 所 以 配置 和 维护 隧道 所 需 的 费用 
与 隧道 的 数量 是 直接 相关 的 每 次 隧道 的 终点 改变 ， 隧 道 都 要 重新 配置 。 隧 道 也 可 自动 
配置 ， 但 存在 缺点 ， 例 如 不 能 考虑 相关 路 由 信息 、 性 能 问题 以 及 容易 形成 回路 问题 。 一 旦 
形成 回路 ， 会 极 大 恶化 路 由 的 效率 。 除 此 之 外 ， 通 信 分 类 机 制 是 通过 一 个 好 的 粒度 级 别 来 
识别 通信 类 型 。 如 果 通 信 分 类 过 程 是 通过 识别 报 文 (进入 隧道 前 的 ) 进 行 的 话 ， 就 会 影响 路 由 
发 送 速率 的 能 力 及 服务 性 能 。 

GRE 隧道 技术 是 用 在 路 由 器 中 的 ， 可 以 满足 Extranet VPN 以 及 Intranet VPN 的 需求 。 
但 是 在 远程 访问 VPN 中 ， 多 数 用 户 是 采用 拨号 上 网 ， 这 时 可 以 通过 L2TP 和 PPTP 来 加 以 
解决 。 

2. L2TP/PPTP. 


L2TP 是 L2F(Layer 2 Forwarding， 第 二 层 转 发 ) 和 PPTP 的 结合 。 由 于 PC 机 的 桌面 操作 
系统 包含 着 PPTP， 因 此 PPTP 仍 比较 流行 。 隧 道 的 建立 有 两 种 方式 ， 用户 初 始 化 隧道 和 
NAS(Network Access Server， 网 络 接 入 服务 器 ) 初 始 化 隧道 。 前 者 一 般 指 “ 主 动 ”隧道 ， 后 
者 指 “ 强 制 ” 隧 道 。 “主动” 隧道 是 用 户 为 某 种 特定 目的 的 请 求 建 立 的 ， 而 “强制 ”隧道 则 
是 在 没有 任何 来 自用 户 的 动作 以 及 选择 的 情况 下 建立 的 。 

L2TP 作为 “强制 ”隧道 模型 是 让 拨号 用 户 与 网 络 中 的 另 一 点 建立 连接 的 重要 机 制 ， 其 
建立 过 程 如 下 。 

(1) 用 户 通过 Modem 与 NAS 建立 连接 。 
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Q) 用 户 通过 NAS 的 L2TP 接 入 服务 器 身份 认证 。 

(3) 在 政策 配置 文件 或 NAS 与 政策 服务 器 进行 协商 的 基础 上 , NAS FI L2TP 接 入 服务 
器 动态 地 建立 一 条 L2TP 隧道 。 

(4) 用 户 与 L2TP 接 入 服务 器 之 间 建 立 一 条 点 到 点 协议 (Point to Point Protocol，PPP) 访 
问 服务 隧道 。 

(5) 用 户 通 过 该 隧道 获得 VPN 服务 。 

与 之 相反 的 是 , PPTP 作为 “主动 ”隧道 模型 允许 终端 系统 进行 配置 , 与 任意 位 置 的 PPTP 
服务 器 建立 一 条 不 连续 的 、 点 到 点 的 隧道 。 而 且 ，PPTP 协商 和 隧道 建立 过 程 都 没有 中 间 媒 
fr NAS 的 参与 。NAS 的 作用 只 是 提供 网 络 服务 。PPTP 的 建立 过 程 如 下 。 

(1) 用 户 通过 串口 以 拨号 P 访问 的 方式 与 NAS 建立 连接 取得 网 络 服务 。 

(2) 用 户 通过 路 由 信息 定位 PPTP 接 入 服务 器 。 

(3) 用 户 形成 一 个 PPTP 虚拟 接口 。 

(4) 用 户 通 过 该 接口 与 PPTP 接 入 服务 器 协商 、 认 证 建立 一 条 PPP 访问 服务 隧道 。 

(5) 用 户 通过 该 隧道 获得 VPN 服务 。 

在 L2TP 中 ， 用 户 感觉 不 到 NAS 的 存在 ， 仿 佛 与 PPTP 接 入 服务 器 直接 建立 连接 。 而 
在 PPTP 中 ，PPTP 隧道 对 NAS 是 透明 的 ; NAS 不 需要 知道 PPTP 接 入 服务 器 的 存在 ， 只 是 
简单 地 把 PPTP 流量 作为 普通 IP 流量 处 理 。 

采用 L2TP 还 是 PPTP 实现 VPN 取决 于 要 把 控制 权 放 在 NAS 还 是 用 户 手中 。L2TP 比 
PPTP 更 安全 , 因为 L2TP 接 入 服务 器 能 够 确定 用 户 从 哪里 来 的 .L2TP 主要 用 于 比较 集中 的 、 
固定 的 VPN 用 户 ， 而 PPTP 比较 适合 移动 的 用 户 。 


3. IPSec 


IPSec(IP Security, IP 安全 ) 是 指 IETF 以 RFC 形式 公布 的 一 组 安全 IP 协议 集 ， 是 在 IP 
包 级 为 IP 业务 提供 保护 的 安全 协议 标准 ， 其 基本 目的 就 是 把 安全 机 制 引 入 IP 协议 , 通过 使 
用 现代 密码 学 方法 支持 加 密 性 和 认证 性 服务 ， 使 用 户 能 有 选择 地 使 用 并 得 到 所 期 望 的 安全 
服务 。 
私有 性 : IPSec 在 传输 数据 包 之 前 将 其 加 密 ， 以 保证 数据 的 私有 性 ; 
完整 性 : IPSec 在 目的 地 要 验证 数据 包 , 以 保证 该 数据 包 在 传输 过 程 中 没有 被 修改 ; 
真实 性 : IPSec 端 要 验证 所 有 受 IPSec 保护 的 数据 包 ; 
防 重 放 : IPSec 防止 了 数据 包 被 捕捉 并 重新 投放 到 网 上 ， 目 的 地 会 拒绝 旧 的 或 重复 
的 数据 包 ， 这 通过 报 文 的 序列 号 实现 ; 


4. SSL VPN 


安全 套 接 层 协 议 (Secure Socket Layer，SSL) 是 由 Netscape 设计 的 一 种 开放 性 协议 , 它 提 

供 了 一 种 介 于 应 用 层 和 传输 层 之 间 的 数据 安全 套 接 层 协议 机 制 。 它 为 TCP/IP 连接 提供 数据 
加 密 、 服 务 器 认证 、 消 息 完整 性 ， 以 及 可 选 的 客户 机 认证 。SSL 是 在 Internet 基础 上 提供 的 
一 种 保证 私密 性 的 安全 协议 ， 它 能 使 客户 机 /服务 器 应 用 之 间 的 通信 不 被 攻击 者 窃听 ， 并 且 
始终 对 服务 器 进行 认证 ， 还 可 选择 对 客户 进行 认证 。SSL 协议 要 求 建立 在 可 靠 的 传输 层 协 
议 (如 TCP) 之 上 .SSL 协议 的 优势 在 于 它 是 与 应 用 层 协 议 独立 无 关 的 。 高 层 的 应 用 层 协议 (如 
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HTTP, FTP, TELNET 等 ) 能 透明 地 建立 在 SSL 协议 之 上 。SSL 协议 在 应 用 层 协议 通信 之 前 
就 已 经 完成 加 密 算法 、 通 信 密 钥 的 协商 ， 以 及 服务 器 认证 工作 。 在 此 之 后 ， 应 用 层 协议 所 
传送 的 数据 都 会 被 加 密 ， 从 而 保证 通信 的 私密 性 。 

SSL 协议 提供 的 安全 信道 有 以 下 3 个 特性 。 

信 ”私密 性 : 在 握手 协议 定义 了 会 话 密 钥 后 ， 所 有 的 消息 都 被 加 密 。 

信 ”确认 性 : 尽管 会 话 的 客户 端 认证 是 可 选 的 ， 但 是 服务 器 端 始终 是 被 认证 的 。 

信 ”可 靠 性 : 传送 的 消息 包括 消息 完整 性 检查 (使 用 MAC)。 

所 谓 的 SSL VPN， 其 实 是 VPN 设备 厂商 为 了 与 IPsec VPN 区 别 所 创造 出 来 的 名 词 ， 指 
的 是 使 用 者 利用 浏览 器 内 建 的 SSL 封包 处 理 功能 ,用 浏览 器 连 回 公司 内 部 SSL VPN 服务 器 ， 
然后 通过 网 络 封包 转向 的 方式 ， 让 使 用 者 可 以 在 远程 计算 机 执行 应 用 程序 ， 读 取 公司 内 前 
服务 器 数据 。 它 采用 标准 的 SSL 对 传输 中 的 数据 包 进 行 加 密 ， 从 而 在 应 用 层 保护 了 数据 的 
安全 性 。 高 质量 的 SSL VPN 解决 方案 可 保证 企业 进行 安全 的 全 局 访问 。 在 不 断 扩 展 的 互联 
网 Web 站 点 之 间 、 远 程 办 公 室 、 传 统 交 易 大 厅 和 客户 端 间 ，SSL VPN 克服 了 IPSec VPN 的 
不 足 ， 用 户 可 以 轻松 实现 安全 易 用 、 无 须 客户 端 安装 且 配 置 简单 的 远程 访问 ， 从 而 降低 用 
户 的 总 成 本 并 增加 远程 用 户 的 工作 效率 。 而 同样 在 这 些 地 方 ， 设 置 传统 的 IPSec VPN 非常 
困难 ， 甚 至 是 不 可 能 的 ， 因 为 必须 更 改 网 络 地 址 转换 (NAT) 和 防火 墙 设置 。 


10.1.3 IPSec VPN 和 SSL VPN 的 比较 


SSL VPN 与 IPSec VPN 是 目前 流行 的 两 类 Internet 远程 安全 接 入 技术 , 它们 具有 类 似 的 
功能 特性 ， 但 也 存在 很 大 不 同 。 

SSL 的 “ 零 客户 端 ” 解 决 方案 被 认为 是 实现 远程 接 入 的 最 大 优势 ， 这 对 缺乏 维护 大 型 
IPSec 配置 资源 的 用 户 来 说 的 确 如 此 。 但 SSL 方案 也 有 不 足 , 它 仅 支持 以 代理 方式 访问 基于 
Web 或 特定 的 客户 端 /服务 器 的 应 用 。 由 服务 器 直接 操纵 的 应 用 , 例如 Net Meeting 及 一 些 客 
户 书 写 的 应 用 程序 ， 将 无 法 进行 访问 。 

1. IPSec 方案 的 安全 级 别 高 


基于 Internet 实现 多 专用 网 安全 连接 ，IPSec VPN 是 比较 理想 的 方案 。IPSec 工作 于 网 
络 层 ， 对 终端 站 点 间 所 有 传输 数据 进行 保护 ， 而 不 管 是 哪 类 网 络 应 用 。 它 在 事实 上 将 远程 
客户 端 “ 置 于 ”企业 内 部 网 ， 使 远程 客户 端 拥有 内 部 网 用 户 一 样 的 权限 和 操作 功能 。 

IPSec VPN 要 求 在 远程 接 入 客户 端 适当 安装 和 配置 IPSec 客户 端 软件 和 接 入 设备 , 这 大 
大 提高 了 安全 级 别 ， 因 为 访问 受到 特定 的 接 入 设备 、 软 件 客 户 端 、 用 户 认证 机 制 和 预定 义 
安全 规则 的 限制 。 

IPSec VPN 还 能 减轻 网 管 负担 。 如 今 一 些 IPSec 客户 端 软件 能 实现 自动 安装 ,不 需要 用 
户 参与 。VPN 服务 能 够 自动 安装 终端 用 户 接 入 设备 和 配置 客户 端 软件 包 ， 因 而 无 论 对 网 管 
还 是 终端 用 户 ， 安 装 过 程 都 大 为 简化 。 


2. IPSec VPN 应 用 优势 
SSL 用 户 仅 限于 运用 Web 浏览 器 接 入 , 这 对 新 型 的 基于 Web 的 商务 应 用 软件 比较 合适 ， 
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但 它 限制 了 非 Web 应 用 访问 ， 使 得 一 些 文件 操作 功能 难于 实现 ， 例 如 文件 共享 、 预 定 文件 
备份 和 自动 文件 传输 。 用 户 可 以 通过 升级 、 增 加 补丁 、 安 装 SSL 网 关 或 其 他 办 法 来 支持 非 
Web 应 用 ， 但 实现 成 本 高 且 复杂 ， 难 以 实现 。IPSec VPN 能 顺利 实现 企业 网 资源 访问 ， 用 户 
不 一 定 要 采用 Web 接 入 (可 以 是 非 Web 方式 )， 这 对 同时 需要 以 两 种 方式 进行 自动 通信 的 应 
用 程序 来 说 是 最 好 的 方案 。 

IPSec 方案 能 实现 网 络 层 连接 ， 任 何 LAN 应 用 都 能 通过 IPSec 隧道 进行 访问 ， 因 而 在 
用 户 仅 需要 网 络 层 接 入 时 ，IPSec 是 理想 方案 。 如 今 ， 有 的 机 构 同 时 采用 IPSec 和 SSL 远程 
接 入 方案 ， 管 理 员 利用 IPSec VPN 实现 网 络 层 接 入 ， 进 行 网 络 管理 ， 其 他 人 员 要 访问 的 资 
源 有 限 ， 一 般 也 就 是 电子 邮件 、 传 真 以 及 接 入 公司 内 部 网 (Web 浏览 )， 因 而 采用 SSL 方案 。 
这 正 是 充分 利用 了 IPSec 的 网 络 层 接 入 功能 。 


3. IPSec VPN 5 SSL VPN 优 劣 比较 


IPSec VPN 和 SSL VPN 各 有 优 缺 点 。IPSec VPN 提供 完整 的 网 络 层 连 接 功 能 ， 因 而 是 
实现 多 专用 网 安全 连接 的 最 佳 选 项 ， 而 SSL VPN 的 “ 零 客户 端 ” 架 构 特 别 适合 于 远程 用 户 
连接 ， 用 户 可 通过 任何 Web 浏览 器 访问 企业 网 Web 应 用 。SSL VPN 存在 一 定 的 安全 风险 ， 
因为 用 户 可 运用 公众 Internet 站 点 接 入 ;IPSec VPN 需要 软件 客户 端 支 撑 , 不 支持 公共 Internet 
站 点 接 入 ， 但 能 实现 Web 或 非 Web 类 企业 应 用 访问 。 


10.2 配置 IPSec VPN 


应 用 实例 导航 : 利用 IPSec VPN 提高 分 支 机 构 链 接 安全 性 


Sadness 公司 随 着 业务 的 逐渐 扩大 ， 在 很 多 城市 建立 了 分 公司 ， 这 些 分 公司 如 何 有 效 而 
安全 地 连 入 总 公司 的 核心 网 络 成 为 一 个 难题 ，Sadness 公司 远程 办 公 网 络 拓扑 结构 如 图 10-1 
所 示 。 


pe cu 
Internet 核心 网 络 
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远程 办 公 网 络 


192.168.1.9 文件 服务 器 


打印 服务 器 


10-1  Sandess 远程 办 公 网 络 拓扑 图 
Jam 为 公司 提出 了 使 用 IPSec VPN 的 配置 方式 ， 提 供 静 态 的 站 点 到 站 点 的 安全 访问 
方式 。 
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※ 技 术 要 领 


(1) IPSec VPN 的 基本 工作 原理 ; 
(2) 配置 基于 预 共 享 密 钥 认 证 的 IPSec VPN; 
(3) 配置 基于 CA 证 书 公 钥 认证 的 IPSec VPN. 


IPSec VPN 技术 在 P 传输 上 通过 加 密 隧 道 ,在 用 公 网 传送 内 部 专 网 的 内 容 的 同时 ， 保 

证 内 部 数据 的 安全 性 ， 从 而 实现 企业 总 部 与 各 分 支 机 构 之 间 的 数据 、 话 音 、 视 频 业务 互通 。 

今 ， 许 多 企业 已 经 把 VPN 作为 远 端 分 支 和 移动 用 户 连 接 的 主要 手段 来 构建 企业 虚拟 业 
务 网 。 


10.2.1 IPSec VPN 概述 


1. IPSec 的 安全 结构 


IPSec 是 在 IP 网 络 上 保证 安全 通信 的 开放 标准 框架 ,实际 上 是 一 套 协议 包 而 不 是 单个 
的 协议 。IPSec 的 安全 结构 包括 3 个 基本 部 分 : 安全 协议 、 安 全 关联 和 密 钥 管理 协议 。IPSec 
独立 于 密码 学 算法 ， 这 使 得 不 同 的 用 户 群 可 以 选择 不 同 的 安全 算法 。 

1) ”安全 协议 

安全 协议 主要 包括 AH(Authentication Header, 认证 头 ) 协 议和 ESP(Encapsulating Security 
Payload， 封 装 安全 载荷 ) 协 议 。 其 中 ，AH Jy IP 数据 包 提 供 无 连接 的 数据 完整 性 和 数据 源 身 
份 认证 。 数 据 完整 性 通过 消息 认证 码 ( 如 MD5、SHA1) 产 生 的 校 验 值 来 保证 ， 数 据 源 身份 认 
证 通过 在 待 认证 的 数据 中 加 入 一 个 共享 密 钥 来 实现 ， 它 能 保护 通信 和 免 受 算 改 ， 但 不 能 防止 
窗 听 ， 适 合用 于 传输 非 机 密 数 据 。 ESP 为 IP 数据 包 提 供 数据 的 保密 性 (通过 加 密 机 制 )、 无 
连接 的 数据 完整 性 、 数 据 源 身份 认证 以 及 防 重 防 攻击 保护 。AH 和 ESP 可 以 单独 使 用 ,也 可 
以 配合 使 用 ， 通 过 组 合 可 以 配置 多 种 灵活 的 安全 机 制 。 

IPSec 有 隧道 和 传输 两 种 工作 方式 。 在 隧道 方式 中 ， 用 户 的 整个 IP 数据 包 被 用 来 计算 
附加 报头 ， 而 且 被 加 密 ， 附 加 报头 和 加 密 用 户 数据 被 封装 在 一 个 新 的 卫 数据 包 中 ; 在 传输 
方式 中 ， 只 是 传输 层 (如 TCP、UDP、ICMP) 数 据 被 用 来 计算 附加 报头 ， 附 加 报头 和 被 加 密 
的 传输 层 数据 被 放置 在 原 IP 报头 后 面 。 

2) ”安全 关联 

两 台 IPSec 主机 在 交换 数据 之 前 ， 必 须 首先 建立 某 种 约定 ， 这 种 约定 称 为 安全 关联 
(Security Association，SA)， 指 双方 需要 就 如 何 保护 信息 、 交 换 信息 等 公用 的 安全 设置 达成 
一 致 ， 更 重要 的 是 必须 有 一 种 方法 使 那 两 台 计 算 机 安全 地 交换 一 套 密 钥 ， 以 便 在 它们 的 连 
接 中 使 用 。 

IPSec 的 安全 关联 可 以 通过 手工 配置 的 方式 建立 ， 但 是 当 网 络 中 结 点 增多 时 ， 手 工 配置 
将 非常 困难 ， 而 且 难 以 保证 安全 性 。 这 时 就 要 使 用 IKE 自动 地 进行 安全 关联 建立 与 密 钥 交 
换 的 过 程 。 

3) ” 密 钥 管理 协议 

IKE(Internet Key Exchange， 因 特 网 密 钥 交换 ) 在 通信 双方 之 间 建 立 安全 关联 ， 提 供 密 钥 
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确定 、 密 钥 管 理 机 制 ， 是 一 个 产生 和 交换 密 钥 材料 并 协商 IPSec 参数 的 框架 。IKE 将 密 钥 协 
商 的 结果 保留 在 SA 中 ， 供 AH 和 ESP 通信 时 使 用 。 


2. IPSec 的 工作 过 程 


IPSec 的 工作 过 程 可 以 分 成 5 个 主要 步骤 。 

(1) IPSec 过 程 启动 :根据 配置 IPSec 对 等 体 (如 公司 总 部 的 路 由 器 和 分 支 机 构 的 路 由 器 ) 
中 的 IPSec 安全 策略 ， 指 定 要 被 加 密 的 数据 流 ， 启 动 IKE(nternet 密 钥 交换 ) 过 程 ; 

Q) IKE 阶段 1: 在 该 连接 阶段 ，IKE 认证 IPSec 对 等 体 ， 协 商 IKE 安全 关联 (SA)， 并 
为 协商 IPSec 安全 关联 的 参数 建立 一 个 安全 传输 道路 ; 

(3) IKE 阶段 2: IKE 协商 IPSec 的 SA 参数 , 并 在 对 等 体 中 建立 与 之 匹配 的 IPSec SA; 

(4) 数据 传送 : 根据 存储 在 SA 数据 库 中 的 IPSec 参数 和 密 钥 ， 在 IPSec 对 等 体 间 传送 
数据 ; 

(5) IPSec 隧道 终止 : 通过 删除 或 超时 机 制 结束 IPSec SA. 


10.2.2 配置 IPSec VPN 


为 了 验证 对 方 的 合法 性 ， 只 有 通过 认证 系统 才 可 以 建立 VPN 通信 连接 。IPSec VPN 有 
两 种 认证 方法 : 预 共 享 密 钥 (Pre-shared Key) 认 证 和 基于 CA 证 书 的 公 钥 认证 。 下 面 分 别 介绍 
这 两 种 认证 方法 在 Cisco 路 由 器 中 的 配置 过 程 。 

1. 使 用 预 共 享 密 钥 认 证 

在 使 用 预 共享 密 钥 时 ，VPN 会 话 双方 都 配置 了 一 个 预 署 的 密 钥 。 会 话 的 双方 并 不 真正 
将 这 个 密 钥 传 输 给 对 方 。 相 反 ， 当 会 话 的 一 方 初 始 化 一 个 VPN 通道 时 ， 会 进行 一 个 分 成 两 
个 阶段 的 KE。 在 第 一 阶段 ，IKE 使 用 预 共享 密 钥 和 Diffie-Hellman 算法 生成 一 个 会 话 密 
钥 。 这 个 会 话 密 钥 可 以 用 于 会 话 双方 彼此 之 间 的 认证 和 保护 通信 通道 的 安全 。 

一 旦 通信 通道 建立 起 来 了 ，IKE 在 第 二 阶段 协商 一 个 IPSec 安全 组 合 。 这 个 安全 组 合 
为 VPN. 会 话 的 双方 建立 一 个 公共 的 配置 方案 , 用 于 加 密 它 们 之 间 传 输 的 数据 。 在 第 二 阶段 ， 
IKE 生成 一 个 会 话 密 钥 。 因 为 第 二 阶段 比 第 一 阶段 持续 时 间 长 得 多 , IKE 定期 重新 生成 第 二 
阶段 会 话 密 钥 。 

与 手工 密 钥 相 比 ， 预 共享 密 钥 的 优势 是 网 络 管理 员 的 管理 更 加 容易 一 些 。 然 而 ， 一 个 
预 共享 密 钥 配置 可 能 降低 传输 效率 ， 特 别 是 如 果 频 繁 生成 第 二 阶段 密 钥 的 话 。 

下 面 的 操作 是 采用 预 共 享 密 钥 认证 方法 的 IPSec VPN 的 配置 过 程 。 

首先 ， 在 远程 办 公 网 络 的 边界 路 由 器 上 ， 定 义 ISAKMP 和 管理 连接 的 IKE, 


Remote (config)# crypto isakmp enable / [JH HH IKE 
Remote (config)# crypto isakmp identity address 
Remote (config)# crypto isakmp policy 10 // 创 建 标识 为 “100” 的 IKE 策 略 


Remote(config-isakmp)£ encryption aes 128 // 使 用 des 加 密 方式 ， 密 钥 长 度 为 128 位 
Remote (Config-isakmp)# hash md5  // 指 定 hash 算 法 为 MD5 (其 他 方式 如 sha、rsa) 
Remote (config-isakmp)# authentication pre-share// 使 用 预 共 享 的 密码 进行 身份 验证 
Remote(config-isakmp)4 group 1 // 指 定 密 钥 位 数 ，group 2 安全 性 更 高 ， 但 更 耗 cpu 
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Remote (config-isakmp)£ exit 


@ 然后 定义 预 共 享 密 钥 ， 并 指定 VPN 另 一 端 路 由 器 的 TP 地 址 。 


Remote (config)£ crypto isakmp key sadness123 address 10.0.0.1 255.255.255.255 
no-xauth 


© soos ACL, PUn EUR t IP 地 址 范围 为 192.168.1.0/24， 公 司 总 部 的 
IP 地 址 范围 是 192.168.2.0/24。 


Remote (config)# ip access-list extended Local 
Remote (config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 
0.0.0.255 


O 接着 还 需要 定义 远程 连接 的 静态 路 由 . 
Remote (config)# ip route 192.168.2.0 255.255.255.0 10.0.0.1 


© 设置 加 密 转换 规则 。 


Remote (config)# crypto ipsec transform-set Local esp-aes esp-md5-hmac 
Remote (cfg-crypto-tran)£ exit 


O 创建 加 密 映射， 


Remote (config)# crypto map sadnessMAP 10 ipsec-isakmp 
Remote (config-crypto-m)£ set peer 10.0.0.1 

Remote (config-crypto-m)£ set transform-set Local 
Remote (config-crypto-m)£ match address Local 

Remote (config-crypto-m)£ exit 


@ 通过 定义 林地 ACL， 人 允许 或 禁止 哪些 数据 通过 VPN 送 到 总 部 网 络 。 


Remote (config)# ip access-list extended local-acl 

Remote (config-ext-nacl)£ permit udp host 10.0.0.1 host 10.1.1.1 eq 500 
Remote (config-ext-nacl)£ permit esp host 10.0.0.1 host 10.1.1.1 
Remote(config-ext-nacl)£* permit ip 192.168.2.0 0.0.0.255 192.168.1.0 
0.0.0.255 

Remote (config-ext-nacl)£ deny ip any any 

Remote (config-ext-nacl)£ exit 


© 最 后 ， 将 上 述 定义 的 本 地 ACL 和 Crypto Map 应 用 到 某 个 网 络 接口 上 。 


Remote (config)# interface GigabitEthernet0/0 

Remote (Config-if)# ip address 10.1.1.1 255.255.255.0 
Remote (config-if)# ip access-group local-acl in 
Remote (config-if)£* crypto map sadnessMAP 


O 对 总 部 边界 路 由 器 的 配置 方法 与 上 述 相似 ， 以 下 是 其 配置 过 程 。 


Local (config)# crypto isakmp enable 

Local (config)# crypto isakmp identity address 
Local (config)# crypto isakmp policy 10 
Local(config-isakmp)£* encryption aes 128 
Local (config-isakmp)# hash md5 

Local (config-isakmp)# authentication pre-share 
Local(config-isakmp)t group 1 
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Local (config-isakmp)# exit 
Local (config)# crypto isakmp key sadness123 address 10.1.1.1 255.255.255.255 
no-xauth 
Local (config)# ip access-list extended Remote 
Local (config-ext-nacl)£permitip192.168.2.00.0.0.255192.168.1.00.0.0.255 
Local(config-ext-nacl)4 exit 
Local (config) ip route 192.168.1.0 255.255.255.0 10.1.1.1 
Local (config)# crypto ipsec transform-set Remote esp-aes esp-md5-hmac 
Local (cfg-crypto-tran)# exit 
Local (config)# crypto map sadnessMAP 10 ipsec-isakmp 
Local(config-crypto-m)£ set peer 10.1.1.1 
Local(config-crypto-m)£ set transform-set Remote 
Local(config-crypto-m)£ match address Remote 
Local(config-crypto-m)£$ exit 
Local (config)# ip access-list extended local-acl 
Local(config-ext-nacl)£ permit udp host 10.1.1.1 host 10.0.0.1 eq 500 
Local(config-ext-nacl)£ permit esp host 10.1.1.1 host 10.0.0.1 
Local(config-ext-nacl)£permitip192.168.1.00.0.0.255192.168.2.00.0.0.255 
Local(config-ext-nacl)£* deny ip any any 
Local(config-ext-nacl)£$ exit 
Local (config)# interface Ethernet0/0 
Local (config-if)# ip address 10.0.0.1 255.255.255.0 
Local (config-if)# ip access-group local-acl in 
Local (config-if)# crypto map sadnessMAP 


配置 完 远程 办 公 网 络 的 边界 路 由 器 和 总 部 边界 路 由 器 后 , 需要 测试 VPN 连接 。 测试 方法 是 ， 
在 总 部 边界 路 由 器 开启 debug crypto ipsec， 使 用 扩展 ping 命令 测试 两 个 环 回 接口 之 间 的 流 
量 是 否 被 加 密 , 由 于 开启 了 debug 能 够 看 到 详细 的 IKE 交换 过 程 。 使 用 show crypto ipsec sa 
命令 能 够 看 到 加 密 数 据 包 的 流量 统计 以 及 IPSEC 的 状态 。 

2. 使 用 CA 证 书 的 公 钥 认证 


对 于 路 由 器 而 言 ， 使 用 预 共 享 密 钥 将 会 带 来 一 些 安全 性 问题 ， 当 第 三 方 使 用 了 相同 的 


密 钥 后 ， 黑 客 很 有 可 能 加 入 到 这 样 的 VPN 中 ， 伪 造 一 些 数 据 流量 。 一 个 架构 良好 的 公 钥 体 


系 ， 


在 信任 状 的 传递 中 不 造成 任何 信息 外 泄 ， 能 解决 很 多 安全 问题 。IPSee 与 特定 的 公 钥 体 


系 相 结合 ， 可 以 提供 基于 电子 证 书 的 认证 。 


假设 我 们 使 用 Microsoft CA 服务 器 为 路 由 器 的 IPSec 提供 CA 认证 ， 其 配置 方法 如 下 。 
访问 如 下 网 站 ， 为 CA 服务 器 加 载 Cisco 路 由 器 支持 ， 如 图 10-2 所 示 。 


http://www.microsoft.com/china/windowsserver2003/techinfo/reskit/tools/d 
efault.mspx 


安装 完成 后 ， 访 问 认 证 服务 器 http://< CA ip-/certsrv/mscep/mscep.dll 记录 下 challenge 
password( 挑 战 密码 )， 如 图 10-3 所 示 。 

证 书 注册 对 时 间 要 求 很 高 , 但 由 于 大 多 数 Cisco 路 由 器 和 交换 机 都 没有 内 部 时 钟 , 无 法 保存 
时 间 ， 因 此 必须 在 开机 后 对 时 间 进 行 设 置 以 保证 证 书 注册 的 顺利 完成 ， 并 且 设 置 域名 和 CA. 
Server 的 IP 地址。 


Remote#clock set 11:13:55 21 July 2008 

Remote (config)#clock timezone GMT +8 

Remote (config)#ip domain-name sadness.com 
Remote (config)#ip host sadnessCA 192.168.1.100 
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Æ 10-2 下载 CepSetup.exe 


4] Simple Certificate Enrollment Protocol (SCEP Add-On for Certificate Services © O @ 


XAO MEO EEV KRAO IAD Mew Ae 
国史 [加 回回 (w)emx (e): (u]- 


Hin [qq nmp-/1192 168 1 210/cørterv/mecep/mecep 


Welcome 


The CA certíficate's thumbprint is C8542165 2CB96316 BDC668A8 


BB62C9DO 
Your enrollment challenge password isQ2911BFDC61D36CEoand will 
expire within 60 minutes This password nce 


Fach enrollment requires a new challenge password. You can refresh this 
web page to obtain a new challenge password. I 


For more information please see the online documentation mscephip htm. 


10-3 查询 challenge password 
© 配置 认证 . 
Remote (config)#crypto key generate rsa 
Remote (config)#crypto pki trustpoint sadnessCA 
Remote (ca-identity)£$enrollment mode ra 
Remote (ca-identity)£enrollment url http://sadnessCA/certsrv/mscep/mscep.dll 
Remote (ca-identity)sexit 
Remote (config)#crypto pki authenticatie sadnessCA 
Remote (config) #crypto pki enroll sadnessCA 


Password: // 填 入 第 二 步 查询 到 的 challenge password 
Re-enter password: 


© 创建 IPsec. 


Remote (config)# crypto isakmp enable 

Remote (config)# crypto isakmp identity address 
Remote (config)#crypto isakmp enable 

Remote (config)#crypto isakmp policy 10 

Remote (config-isakmp)f£authentication rsa-sig 
Remote (config-isakmp)f£encryption des 

Remote (config-isakmp)4shash md5 

Remote (config-isakmp)f£group 2 
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Remote (config)# ip access-list extended Remote 
Remote (config-ext-nacl)# permit ip 192.168.2.0 0.0.0.255 192.168.1.0 
90.0.0.255 
Remote (config-ext-nacl)# exit 
Remote (config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 
Remote (config)# crypto ipsec transform-set Remote esp-aes esp-md5-hmac 
Remote (cfg-crypto-tran)# exit 
Remote (config)# crypto map sadnessMAP 10 ipsec-isakmp 
Remote (config-crypto-m)# set peer 10.1.1.1 
Remote (config-crypto-m)# set transform-set Remote 
Remote (config-crypto-m)# match address Remote 
Remote (config-crypto-m)# exit 
Remote (config)# ip access-list extended Remote-acl 
Remote (config-ext-nacl)# permit udp host 10.1.1.1 host 10.0.0.1 eq 500 
Remote (config-ext-nacl)# permit esp host 10.1.1.1 host 10.0.0.1 
Remote (config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 
0.0.0.255 
Remote (config-ext-nacl)# deny ip any any 
Remote (config-ext-nacl)# exit 


Q 将 本 地 ACL 和 Crypto Map 应 用 到 接口 。 


Remote (Config-if)# ip address 10.0.0.1 255.255.255.0 
Remote (config-if)# ip access-group Remote-acl in 
Remote (config-if)# crypto map sadnessMAP 


Q 使 用 上 一 节 所 述 的 同样 方法 测试 VPN 连接 。 


10.3 ”拨号 虚拟 专 网 


应 用 实例 导航 : 为 Sadness 公司 部 署 员 工 远程 接 入 访问 


※ 场 景 呈现 
Sadness 公司 员工 希望 在 自己 家 中 通过 一 种 简单 的 方式 连接 到 公司 网 络 以 实现 在 家 办 
公 ， 因 此 Jam 需要 为 他 们 建立 一 种 方便 而 安全 的 接 入 方式 。 


(1) 基于 ISA Server 2004 的 VPN 服务 器 端 配置 ; 
(2) VPN 客户 端的 配置 ; 

(3) 基于 Cisco VPDN 的 VPN 服务 器 端的 配置 ; 
(4) 基于 Linux 的 VPN 服务 器 端的 配置 。 


10.3.1 VPDN 概述 


基于 拨号 虚拟 专 网 (Virtual Private Dial-up Networks. VPDN. 俗称 “网 中 网 ”) 是 利用 公 
共 网 络 ( 如 ISDN 和 了 PSTN) 的 拨号 功能 及 接 入 网 来 实现 虚拟 专用 网 ， 为 企业 、 小 型 ISP、 移 动 
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办 公 人 员 提 供 接 入 服务 。VPDN 采用 专用 的 网 络 加 密 和 通信 协议 ， 可 以 使 企业 在 公共 IP 网 
络 上 建立 安全 的 虚拟 专 网 。 例 如 ， pe 企业 员工 离开 公司 出 差 中 可 以 从 远程 经 
过 公共 IP 网 络 ， 通 过 虚拟 的 加 密 通道 与 企业 内 部 的 网 络 连接 ， 而 公共 网 络 上 的 客户 则 无 法 
穿 过 虚拟 通道 访问 该 企业 的 内 部 网 络 。VPDN 能 够 充分 利用 现 有 的 网 络 资源 ， 提 供 经 济 、 
灵活 的 联网 方式 ， 为 客户 节省 设备 、 人 员 和 管理 所 需要 的 投资 ， 降 低 用 户 的 费用 ， 应 用 非 
常 广泛 。 

VPDN 主要 由 网 络 接 入 服务 器 NAS)、 用 户 端 设备 (CPE) 和 管理 工具 组 成 。 其 中 NAS 由 
大 型 ISP 或 电信 部 门 提供 , 其 作用 是 作为 VEDN 的 接 入 服务 提供 广域网 接口 , 负责 与 PSTN、 
ISDN 的 连接 ,并 支持 各 种 LAN 的 协议 、 安 全 管理 和 认证 、 隧道 及 相关 技术 ; CPE 是 VPDN 
的 用 户 端 设备 ， 位 于 用 户 总 部 ， 根 据 网 络 功 外 的 不 同 可 以 是 F NAS、 路 由 器 或 防火 墙 等 提 
供 相关 的 设备 来 担任 ;VPDN 管理 工具 对 VPDN 设备 和 用 户 进行 管理 。 

VPDN 的 协议 可 以 基于 第 二 层 隧道 协议 ， 如 PPTP、L2F、L2TP， 也 可 基于 第 三 层 隧道 
协议 ， 如 IPSec。 一 般 情况 下 ，VPDN 所 用 的 协议 为 L2TP 协议 。 

VPDN 的 协议 工作 原理 是 ， 当 VPN 用 户 拨号 时 ， 网 络 接 入 服务 器 (NAS) 与 公司 的 企业 
网 关 之 间 直接 建立 一 个 隧道 。 此 后 ， 各 种 网 络 协 议 ( 如 TCP、IP、IPX 等 协议 ) 产 生 的 用 户 数 
据 经 过 一 系列 封装 ， 通 过 隧道 传递 到 企业 网 关 ， 再 进行 解 包 ， 数 据 才 传 递 到 企业 内 部 。 

VPDN 可 以 用 一 台 VPND 路 由 器 或 网 关 担 任 ， 当 然 也 可 以 用 安装 多 块 网 卡 的 Windows 
或 Linux 主机 来 担任 。 


10.3.2 配置 基于 ISA Server 2004 的 VPN 


ISA Server 2004 防火 墙 可 以 配置 为 VPN 服务 器 或 者 VPN 网 关 。VPN 服务 器 组 件 允许 
接受 远程 VPN 客户 端的 访问 请 求 ， 在 成 功 建立 VPN 连接 后 ，VPN 客户 可 以 成 为 一 个 受 保 
护 的 网 络 成 员 。ISA Server 2004 的 VPN 网 关 允 许 在 Internet. 上 连接 一 个 完整 的 网 络 。 

1. 配置 VPN 服务 器 


下 面 简要 介绍 一 下 基于 ISA Server 2004 的 VPN 的 配置 过 程 。 
kkt Fil > F] Microsoft ISA Server> [ISA 服务 器 管理 】 命 令 。 在 打开 的 
ISA 服务 器 管理 控制 台 窗 口中 ， 依 次 选择 【阵列 〗 一 Sadness ISA 一 【虚拟 专用 网 络 (VPN)】 
结 点 ， 如 图 10-4 所 示 。 

@@ 选择 右 侧 【任务 】 选 项 卡 中 的 【定义 地 址 分 配 了 链接， 添加 一 个 静态 地 址 池 用 于 拨 入 用 户 
使 用 的 IP, 4E 10-5 所 示 。 

e 单 击 图 10-4 右 侧 【启用 VPN 客户 端 访问 】 了 链接 并 应 用 配置 ， 完 成 后 该 链接 会 变 为 【禁用 
VPN 客户 端 访 问 】 链 接 ， 如 图 10-6 所 示 。 
单 击 【 配 置 VPN 客户 端 访问 】 链 接 ， 在 打开 的 对 话 框 中 设置 最 大 VPN 客户 端 数量 ， 并 在 
【协议 】 选 项 卡 中 选中 【启用 L2TP/IPSec】 复 选 框 以 获得 较 高 的 安全 性 ， 如 图 10-7 所 示 。 
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图 10-7 配置 VPN 客户 端 访问 
© 新 建 一 条 访问 规则 ， 使 得 VPN 和 内 部 网 络 可 以 互相 访问 ， 如 图 10-8 所 示 。 
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10-8 配置 VPN 访问 规则 


Q 如 果 需 要 使 用 RADIUS 服务 器 进行 身份 验证 ， 则 单 击 【指定 RADIUS 配置 】 链 接 。 在 打开 
的 对 话 框 中 ， 选 中 【使 用 RADIUS 进行 身份 验证 〗 和 【使 用 RADIUS 记 账 】 复 选 框 ， 并 单 


击 【RADIUS 服务 器 】 按 钮 来 添加 RADIUS 服务 器 ， 如 图 10-9 所 示 。 
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10-9 添加 RADIUS 服务 器 


@ 如 果 未 使 用 RADIUS 认证 ， 则 需要 打开 【Active Directory 用 户 和 计算 机 了】 控制 


全 窗口 ， 在 


目录 树 中 选择 Sadness.com> Users 结 点 ， 在 右 侧 窗 格 中 选择 需要 远程 接 入 的 用 户 ， 然 后 右 
击 ， 在 弹出 的 快捷 菜单 中 选择 【属性 】 命 令 。 在 用 户 属 性 对 话 框 中 ， 切 换 到 【 拨 入 了】 选项 


卡 ， 选 中 【允许 访问 】 单 选 按钮 ， 如 图 10-10 所 示 。 
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10-10 配置 远程 访问 权限 


2. VPN 客户 端的 设置 与 测试 


当 VPN 服务 器 架设 好 ， 并 赋予 用 户 远程 访问 的 权限 后 ， 就 可 以 从 VPN 客户 机 连接 到 
VPN 服务 器 了 。 在 连接 之 前 ， 还 要 创建 VPN 拨号 连接 ， 操 作 步 又 如 下 。 
Q 完成 服务 器 端 配置 后 ， 在 客户 端 中 依次 选择 【控制 面板 】 一 【网 络 连接 了 一 【新 建 连接 向 
导 】 图 标 ， 在 新 建 连 接 向 导 页 中 单 击 【下 一 步 】〗 按 钮 ; 在 【网 络 连接 类 型 〗 向 导 页 选中 【 连 
接 到 我 的 工作 场所 的 网 络 】〗 单 选 按钮 ， 单 击 【 下 一 步 】 按 钮 ; 在 【网 络 连接 了 向 导 页 ， 选 
中 【虚拟 专用 网 络 连接 〗 单 选 按钮 ， 然 后 单 击 【下 一 步 】 按 钮 ， 如 图 10-11 所 示 。 
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图 10-11 在 客户 端 创建 VPN 连接 
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© 在 【连接 名 ] 向 导 页 输入 连接 的 名 称 ,例如 “VPDN to Sadness”， 然 后 单 击 【 下 一 步 】 
按钮 ， 在 【VPN 服务 器 选择 】 向 导 页 ， 输 入 ISA 服务 器 的 外 部 TP 地 址 或 公司 VPDN 服务 


器 的 域名 ， 单 击 【 下 一 步 〗 按 钮 ， 如 图 10-12 所 示 。 


| Lnd 


连接 名 
指定 连接 到 | 烙 的 工作 场所 的 连接 名 称 - 


在 下 面 框 中 输入 此 连接 的 名 称 。 

PELLI 

VPN to Sadness ss. 
YE RSNA 

例如 ,您 可 以 输入 您 的 工作 地 点 过 YFPN 服务 器 的 名 称 或 地 址 是 什么 ? 


输入 称 正 连接 的 计算 机 的 主机 名 或 IP 地 址 。 
主机 名 或 IP 地 址 (如 , microsoft. com 或 157.54.0.1) QD 


[vpn sadness. net. 


(r—sse) m ( ma ) 


10-12 设置 连接 名 称 和 VPN 服务 器 
© 完成 VPDN 客户 端 配置 后 ， 单 击 VPDN to Sadness 图 标 ， 开 始 连接 VPN， 在 对 话 框 中 输入 


用 户 名 和 密码 ， 然 后 单 击 【 和 连接】 按钮 ， 如 图 10-13 所 示 。 
连接 VPDN to Sadness ee, 


BP&»: Je 


TE Er 


O 为 下 面 用 户 保存 用 户 名 和 密码 O) 


= 只 是 我 0D) 
任何 使 用 此 计算 机 的 人 QD 


(EE) ( a ) (REO ) 帮助 H) ) 


10-13 ”连接 到 VPDN 服务 器 端 


O 系统 将 开始 链接 ， 完 成 在 网 络 上 注册 计算 机 后 ，Windows 右 下 角 会 显示 “VPDN to Sadnesss 
现在 已 连接 ”提示 信息 ， 这 样 就 完成 了 基于 ISA Server 2004 的 VPDN 配置 ， 如 图 10-14 


所 示 。 
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单 击 这 里 可 获得 更 详细 的 信息 


Y ROTA 16:45 
图 10-14 ”完成 客户 端 连接 
© 在 客户 端 ， 使 用 ipconfig 命令 查看 获取 的 凶 地 址 等 信息 ， 显 示 连 接 已 经 建立 。 


C:/» ipconfig 
PPP adapter VPDN to Sadness: 
Connection-specific DNS Suffix 


Description . . . . . . . . . . . . : WAN (PPP/SLIP) Interface 
Physical Address. . &« è 2 + -= £ 00-53-45-00-00-00 
Dhcp Enabled. è 


IP Address. -168.3.114 
Subnet Mask . . .255.255 
Default Gateway . .114 

DNS Servers . .168.10.3 


10.3.3 ”使 用 ASA 配置 VPN 


由 于 Cisco ASA (Adaptive Security Appliance， 适 应 性 安全 产品 ) 是 一 种 常见 的 
UTM(Unified Threat Management， 统 一 威胁 管理 ) 设 备 ， 在 防火 墙 的 基础 上 集成 了 IPS. Dj 
病毒 网 关 等 众多 功能 ， 同 时 还 集成 了 VPN 的 功能 ， 通 过 与 Cisco VPN Client 配合 实现 了 
VPDN 服务 。 下 面 简要 地 介绍 一 下 通过 ADSM( 自 适应 安全 设备 管理 器 ) 配 置 ASA 的 VPDN 
过 程 。 
© 启动 ADSM, 单 击 Wizards 一 IPSec VPN Wizard 命令 , 启动 IPSec VPN 配置 向 导 , 如 图 10-15 

所 示 。 
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10-15 ”启动 VPN 配置 向 导 
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© 在 VPN 配置 向 导 的 第 1 步 中 ,选中 Remote Access 单 选 按钮 ， 将 VPN Tunnel Interface 下 拉 
PF， 选择 


列表 框 设置 为 外 部 (outside) 接 口 ， 然 后 单 击 Next 按钮 . 第 VPN 配置 向 导 的 第 2 步 
VPN 客户 端 模式 ， 可 以 选择 Cisco VPN Client 或 者 微软 Windows 客户 端 ， 然 后 单 击 Next 


按钮 ， 如 图 10-16 所 示 。 
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图 10-16 选择 VPN 模式 及 客户 端 
© 在 vPN 配置 向 导 的 第 3 步 中 ， 选 择 VPN 的 认证 模式 ， 可 以 选择 Pre-shared key 模式 ， 也 可 
以 使 用 微软 的 CA 认证 方式 ， 如 图 10-17 所 示 。 


VPN Wizard vs cis 


10-17 选择 VPN 认证 模式 


o 如 果 需 要 使 用 基于 CA 的 认证 方式 ， 可 依次 单 击 Remote Access VPN > Certificate 
Management 一 IdentityCertificates 结 点 ， 再 单 击 Add 按钮 进行 添加 ， 如 图 10-18 所 示 。 
© 在 Add Identity Certificate 对 话 框 中 ， 单 击 Advanced 按钮 ， 按 照 本 章 前 述 的 方式 配置 


Enrollment URL X Challenge Password， 如 图 10-19 所 示 。 
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10-18 ”添加 CA 认证 方式 


Advanced Options ej 


Enrollment mode parameters and SCEP challenge password are not available for self-signed certificates. 
ep] 


O Request by manual enrollment 


Challenge Password 


Request from a CA 


Enrollment URL (SCEP): http:// 


<sadnessCA-ip)/certsrv/mscep/mscep. dll 


Retry Period: 


minutes 


Retry Count: [o (Use O to indicate unlimited retries) 


10-19 配置 CA 认证 


Q 在 VPN 配置 向 导 的 第 3 步 中 , 设置 VPN 认证 模式 . 选择 相应 的 证 书 名 称 (Certificate Name), 
并 定义 隧道 组 名 称 (Tunnel Group Name)， 如 图 10-20 所 示 。 


[E] VPN Wizard e 
VPN Wizard. 


VEN Client Authentication Nethod «md Tunnel Group Nase (Step 3 of.) 


The ASA allowr you to group remote access tunnel users based on common 
connection parameters and client attributes configured in the subsequent 
screens Configure authentication method and tunnel group for this remote 
connection Uze the same tunnel grous nese for the device and the remote client 


“Authentication Method 


O Precshared key 


Pre-Shared Key- 


@ certificate 
Certificate Signing Algoritha: rsasig 
Certificate Dame [Sadness Irustfeint m 


O Challenge/responss authentication (CRACK) 


[Tunnel Group 
Tunnel Group Fase: 


EEC 


10-20 ME VPN 认证 模式 
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O 在 VPN 配置 向 导 的 第 4 步 中 ,设置 客户 信息 所 使 用 的 认证 方式 ， 可 以 选择 ASA 使 用 本 地 


认证 ， 也 可 以 使 用 外 置 的 RADIUS 服务 器 进行 认证 。 如 果 需 要 RADIUS 认证 ， 选 中 
Authenticate using an AAA Server Group 单 选 按 钮 ， 并 单 击 New 按钮 添加 RADIUS 服务 器 ， 


如 图 10-21 所 示 。 


10-21 配置 VPN 客户 端 认 证 


Q 在 VPN 配置 向 导 的 第 5 步 中 ， 为 VPN 客户 配置 静态 地 址 池 ， 如 图 10-22 所 示 。 


(ona) ee) 


A 10-22 配置 静态 地 址 池 
© 在 VPN 配置 向 导 的 第 6 步 中 , 为 VPN 客户 端 配置 DNS 服务 器 、WINS 服务 器 和 默认 域名 ， 


如 图 10-23 所 示 。 
P. XE IKE 规则 和 IPSec 加 密 及 认证 方式 ， 一 般 选 择 


O 在 VPN 配置 向 导 的 第 7 步 和 第 8 步 
加 密 方式 为 3DES、 认 证 方式 为 SHA， 如 图 10-24 所 示 。 
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Secondary WINS Server 
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10-23 配置 DNS 服务 器 、WINS 服务 器 及 默认 域名 


IT Geet 


10-24 配置 IKE 规则 和 IPSec 加 密 及 认证 方式 


QD 在 VPN 配置 向 导 的 第 9 步 中 ， 配 置 NAT 例 外 或 Split Tunnel， 如 图 10-25 所 示 。 该 步 为 可 
选 配置 。 

© 在 VPN 配置 向 导 完成 后 ， 将 显示 总 结 (Summary) 页 面 ， 单 击 Finished 按钮 确认 上 述 配置 。 

Q 在 第 @ 步 客户 端 配置 中 ， 如 果 选 择 Windows 客户 端 ， 可 以 按照 10.3.2 所 述 的 方法 进行 配 
置 ， 如 果 选 择 Cisco VPN Client， 则 依次 Certificate 一 Enroll 按钮 ， 按 照 前 述 方式 配置 CA 
URLs、CA Domain 和 Challenge Password， 如 图 10-26 所 示 。 

[4] 在 连接 时 ， 选 择 该 认证 方式 为 Certificate Authentication 即 可 ， 如 图 10-27 所 示 。 
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VPN Wizard 


)  Gte» 9. 


Beteerie Adress Teensletien UBI) iz used to hide the internal nctwork frem 
sutzide users. Teu cam maks swecpticns te NAT te expoze the entire sr part of 
the internal network to suthenticated remote users protected by VET 


To expose the entire network behind the most secure interface to remote VEIT 
users without MAT, leave the selection list blank. 


Selected Hosts/Networks 
Host/Metaork” 


,., Enable split tunneling to let remote users have simultaneous encrypted 
C access to the resources defined above, and unencrypted access to the 


A 10-25 配置 IPSec 加 密 认证 方式 


o E 


Connection Entries Status Certficates Log Options 
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ep 
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Do Yer Ddete 
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10-26 在 Cisco VPN 客户 端 配置 CA 认证 


ô 


VEN Client | Creste New VPN Connection Entry e 
Connection Entry: SadnessVPN 


Description aleile 


cisco 


Host: 10.0.0.1 


Authentication Transport Backup Servers Dial-Up 


Group Authentication Mutual Group Authentication 


* Certificate Authentication 


Hame: 0 - Sadness Microsoft A 
Send CA Certificate Chain 


Save Cancel 


10-27 ”选择 认证 方式 
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10.3.4 配置 Linux VPN 


应 用 实例 导航 : 基于 多 ISP 的 加 速 VPN 访问 


KREM 


Sadness 公司 的 员工 抱怨 说 VPN 连接 太 慢 ， 希 望 公司 能 够 使 用 基于 中 国电 信和 中 国 网 
通 的 双 线 接 入 VPN. Jam 刚好 有 一 台 做 IDS 测试 的 Linux 服务 器 因为 新 购置 ASA. 设备 而 闲 
置 ,他 希望 能 够 通过 这 台 Linux 配置 双 线 VPDN 接 入 中 国电 信和 中 国 网 通 的 两 个 ISP 线路 ， 
如 图 10-28 所 示 。 


A pe 


y ， R 
h o P 中 国 网 通 7 
D, 
h 
Ip: 30.0.0.1 Ip: 20.0.0.1 
Id Xs 30.0.0.254 网 关 : 20.0.0.254 
Linux 
VPDN 


10-28 Linux VPDN 


对 于 一 些 刚刚 起 步 的 小 型 企业 而 言 , 使 用 基于 Linux 的 VPN 服务 器 是 一 个 很 好 的 选择 。 
下 面 简要 介绍 一 下 Linux VPN 的 配置 过 程 。 
Q 根据 网 络 连接 情况 配置 路 由 表 . 在 本 例 中 ， 将 电信 地 址 段 指向 30.0.0.254， 其 他 地 址 指向 网 
通 的 网 关 30.0.0.254。 


202.101.192.0/24 via 30.0.0.254 dev eth0 metric 10 
202.113.0.0/16 via 30.0.0.254 dev eth0 metric 10 
59.76.0.0/16 via 30.0.0.254 dev eth0 metric 10 
via 30.0.0.254 dev ethO metric 10 // 电 信 地 址 段 
169.254.0.0/16 dev ethl scope link 
default via 20.0.0.1 dev ethl metric 20 


© 为 vPN 地 址 段 配置 NAT 访问 规则 . 


iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 
30.0.0.1 
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ethl -j SNAT --to-source 
20.0.0.1 


© 打开 网 卡 的 数据 包 转 发 功能 . 


echo 1 >/proc/sys/net/ipv4/conf/all/forwarding 


OQ 从 nemet 上 下 载 并 安装 动态 内 核 模块 ， 支 持 软件 包 DKMS、PPP 内 核 模块 、 内 核 
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MPPE(Microsoft Point to Point Encryption， 微 软 点 对 点 加 密 ) 补 丁 、PPTP VPN 模块 等 软件 。 
© 修改 pptpd 守护 进程 的 配置 文件 /eto/pptpd.conf， 在 该 文件 中 添加 如 下 两 行 , 确定 本 地 VPN 

服务 器 的 IP 地址 和 客户 端 登录 后 分 配 的 人 P 地 址 范围 。 


localip 192.168.100.1 本 地 VPN 服 务 器 的 IP 

remoteip 192.168.100.10-250 ## 分 配给 客户 机 的 地 址 池 
© 修改 /etc/ppp/options.pptpd 文件 ， 在 该 文件 中 添加 如 下 内 容 。 

# 拒 绝 chap 身 份 验证 

refuse-chap 

# 拒 绝 mschap 身 份 验证 


refuse-mschap 
# 采 用 mschap-v2 身 份 验证 方式 
require-mschap-v2 
# 注 意 在 采用 mschap-v2 身 份 验证 方式 时 要 使 用 MPPE 进 行 加 密 
require-mppe-128 
# 给 客户 端 分 配 DNS 地 址 和 WwINS 服 务 器 地 址 
ms-dns 10.0.0.5 
# 启 动 ARP 代 理 
Proxyarp 
O 如 果 使 用 本 地 客户 信息 认证 ， 需 要 在 /etc/ppp/chap-secrets 文件 中 添加 用 户 。 在 该 文件 中 主要 
设置 4 项 内 容 : 用 户 名 、 服 务 、 密 码 和 分 配给 用 户 的 瑟 地 址 ， 其 中 用 户 名 、 密 码 、 分 配给 
用 户 的 IP 地 址 要 用 双 引 号 括 起 来 ， 服 务 一 般 是 “pptpd” 或 者 设置 成 “*” 号 来 表示 自动 识别 
服务 器 。 可 以 指定 分 配给 用 户 的 IP 地 址 ， 如 果 不 需要 做 特别 限制 ， 可 以 将 其 设置 为 “*” 号 
分 配给 用 户 的 中 地址 。 
#client server Secret IP addresses 
“jam@ sadness.com” pptpd 2 We 


© 为 了 方便 用 户 使 用 ,使 用 一 个 域名 代替 两 个 网 关 的 IP 地 址 .例如 在 本 例 中 , 可 以 修改 Sadness 
公司 的 DNS 服务 器 ， 使 30.0.0.1、20.0.0.1 PIA IP 地 址 的 域名 都 设置 为 vpdn.sadness.com, 
© 按照 103.2 所 述 的 方法 ， 配 置 VPN 客户 端 并 测试 连接 。 


10.4 配置 SSL VPN 


应 用 实例 导航 : 为 Sadness 公司 部 署 Web 4A VPN 


KARER 


Sadness 公司 总 裁 Jeffy 先生 希望 能 够 在 任何 公众 场合 方便 地 连接 到 公司 网 络 ， 而 VPN 
需要 配置 客户 端 ， 比 较 麻烦 。 某 次 在 Jeffy 先生 在 机 场 候 机 时 ， 销 售 部 门 负责 人 打 来 电话 ， 
希望 Jeffy 先生 确认 公司 标底 , Jeffy 在 机 场 附近 的 公共 电脑 上 网 接收 了 邮件 , 并 进行 了 确认 。 
但 稍 后 一 位 特殊 的 人 物 接触 到 Jeffy 所 使 用 的 电脑 ， 在 那 台 计算 机 看 到 了 标书 ， 并 转送 给 了 
竞争 对 手 。 事 情 发 生 后 ，Jeffy 迫切 希望 Jam 能 够 继续 提高 公司 的 VPN 服务 。 
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为 此 , Jam 提出 了 使 用 SSL VPN 配置 方式 , 这 种 基于 Web 的 方式 无 须 使 用 客户 端 配置 ， 
并 且 本 地 存放 内 容 均 进行 了 加 密 ， 是 一 种 非常 安全 的 解决 方案 。 某 些 厂商 也 把 这 种 方案 称 
为 Web VPN. 


(1) 配置 SSL VPN; 
(2) 设置 RADIUS 服务 器 的 属性 。 


1. 配置 Web VPN 


ADSM WHA Web VPN 功能 ， 可 以 通过 配置 向 导 来 完成 Web VPN 配置 ， 其 过 程 大 致 
如 下 。 
Q 启动 ADSM， 单 击 Wizards>SSL VPN Wizard 命令 ， 启 动 SSL VPN 配置 向 导 ， 如 图 10-29 


所 示 。 


Startup Wizard. 
IPsec VPN Wizard. 


SSL VPN Wizard 
High Avaliability and Scalability Wizard 
mm peu BEER top 10 Access Rules Last updated: 2:07:51 
一, 一 Interval: (Lont 1 hour B Besed eni Packet Mite Display: (re. Hj 
| 
9t 1 Top Usage Status Last updated: 2:07:51 
L H | 
m [7 0205 0206 eror To 10 Sources | Top 10 Destinations 
BL Dropped: © WE Dospectien Dropped: 0 COUPER A a Cc 
“Possible Sean and STI Attack Rates — — — — — — — — — — 1 
| | -i 
d : \ E 
minr ascen im 
0203 azoa 2208 a200 exor Me RDUM a 
图 Scanning Attacks: O Bib Syn Attacks: 0 


10-29 ”启动 VPN 配置 向 导 


© 在 SSL VPN 配置 向 导 的 第 1 步 ， 选 中 Clientless SSL VPN Access 单 选 按钮 ， 然 后 单 击 Next 
按钮 ， 将 弹出 VPN 配置 向 导 第 2 向 导 页 ， 可 以 选择 SSL VPN 接口 ， 输 入 连接 名 称 后 ， 选 
择 接口 为 外 部 (Outside) 接 口 。 如 果 需 要 数字 证 书 ， 可 以 在 Certificate 下 拉 列 表 框 中 选择 ， 证 
书 可 以 在 微软 CA 服务 器 上 申请 。 设 置 完毕 后 单 击 Next 按钮 ， 如 图 10-30 所 示 。 

© 在 SSL VPN 配置 向 导 的 第 3 步 中 ， 选 中 VPN 客户 端的 认证 模式 ， 可 以 选择 本 地 认证 ， 也 
可 以 选择 使 用 RADIUS 服务 器 进行 认证 ， 建 议 使 用 RADIUS 认证 方式 集中 控制 用 户 账号 。 
设置 完毕 后 单 击 Next 按钮 ， 如 图 10-31 所 示 。 
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10-30 选择 VPN 连接 类 型 模式 及 SSL VPN 接口 


SSL VPN Wizard User Authentication (Step 3 of 6) 


The security appliance supports authentication of users by an external AAA server or local 
user accounts. Specify ho» the security appliance authenticat s when 


login. 


© Authenticate using a AAA server group 


AAA Server Group Nane: [an se M (e) 


O Authenticate using the loc PT e 


User to be Added 
Vsernane 


———À [ueram 


Authentication Protocol: [panrus 司 


Server IP Address 


Interface 


Server Secret Key 


Confirm Server Secret 


EB (Coma) Cm 


10-31 选择 VPN 客户 端 认 证 模式 


© 在 SSLVPN 配置 向 导 的 第 4 步 中 ,选中 Create new group policy (创建 一 个 新 组 策略 ) 单 选 按 
钮 。 设置 完毕 后 单 击 Next 按钮 ， 如 图 10-32 所 示 。 
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SSLVPN Wizard Group Policy (Step 4 of 6) 


A group policy is a collection of user-oriented attribute/value pairs. Unless assigned to a 
specifie group policy, all users are members of the default group policy (DfltGrpPolicy) 


Therefore, configuring the default group policy lets users inherit attributes that you have 
mot configured at the individual group policy or username level. 


© Erste nes group policy Sadness 


O Modify existing group policy | 


CD esc 5) (isi) Ga) Gar) 
10-32 选择 或 创建 用 户 组 策略 
© 在 SSLVPN 配置 向 导 的 第 5 步 中 自 定义 书签 ,设置 完毕 后 单 击 Next 按钮 ,如 图 10-33 所 示 。 


SSLVPN Wizard 


Clientless Connections Only — Bookmark List (Step 5 of 6) 
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the SSL VPN portal page. 
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10-33 自 定义 书签 
@@ 在 SSLVPN 配置 向 导 完成 后 ， 将 显示 Summary 页 面 ， 单 击 Finished 按钮 确认 。 
2. 配置 RADIUS 服务 器 


在 配置 SSL VPN 时 ， 同 样 需 要 配置 RADIUS 服务 器 以 便 进 行 用 户 认 证 。 下 面 是 配置 


和 


a 网 络 安全 大 全 加 
Cisco ACS 的 过 程 。 


@ 打开 cisco ACS 配置 页 面 ， 单 击 右 侧 的 Network Configuration 按钮 为 ASA 创建 一 个 AAA 
gu 


客户 端 ， 如 


图 10-34 所 示 。 
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te [RADIUS (Cisco VPN 3000 AAA Client Hostname 


The AAA Client 
name assigned to the 
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10-34 为 ASA 配置 AAA 客户 端 


© 在 Interface Configuration 页 面 中 , 设置 RADIUS(Cisco VPN300/ASA/PIX 7.x-)/& tE, 将 可 能 


用 到 的 属性 选 上 。 例如 ， 


[3076\011] Tunneling-Protocols、[3076\071] WebVPN-Url-List、 


[3076\093] WebVPN-URL-Entry-Enable、[3076\094] WebVPN-File-Access-Enable、 [3076\095] 
WebVPN-File-Server-Entry-Enable、[3076\096] WebVPN-File-Server-Brow sing -Enable， 如 


图 10-35 Bron. 
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Interface Configuration 


RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) 


User Group 
[026/3076/001] Access-Hours 
[026/3076/002] Simultaneous-Logins 
1026/3076/005] Primary-DNS 
[026/3076/006j 
1026/3076/007] 


1026/3076/008] 


Secondary-DNS 
Primary- WINS 
Secondary-WINS 


选择 VPN 所 用 的 RADIUS 属性 
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© 通过 浏览 器 访问 “https:/<ASA-IP>”， 登录 成 功 后 将 显示 VPN 工作 状态 ， 如 图 10-36 所 示 。 


WebVPN Service 


H the Floating Toolbar does not open. click here to open il. 


10-36 查看 VPN 工作 状态 


10.5 本 章 小 结 


本 章 讲述 了 使 用 VPN 的 一 些 常用 的 配置 方式 ， 包 括 站 点 到 站 点 的 IPSec VPN、 员 工 远 
程 办 公所 使 用 的 VPN, 以 及 安全 便捷 的 SSL VPN. 在 本 章 最 后 还 介绍 了 基于 Linux 的 双 ISP 
接 入 VPN 的 配置 方式 。 通 过 这 些 配置 可 以 使 远程 办 公 室 能 够 安全 地 连接 到 公司 总 部 ， 同 时 
员工 也 可 以 方便 而 安全 地 连接 到 公司 网 络 。 
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按照 前 几 章 所 述 的 方式 组 建 一 个 安全 的 园区 网 络 ， 但 是 入 侵 检测 系统 、 防 火 墙 、UTM 
等 各 种 安全 设备 将 产生 大 量 的 安全 日 志 ， 并 且 安 全 信息 系统 相对 孤立 ， 导 致 管理 员 对 实时 


安全 信息 不 了 解 ， 无 法 及 时 发 出 预警 信息 ; 攻击 事件 发 生 后 ， 无 法 确诊 网 络 故障 的 原 
感染 源 / 攻 击 源 ， 网 络 业 务 恢复 时 间 长 ， 对 某 些 特定 安全 事件 没有 适合 的 方法 ， 如 DDo 
击 等 。 管 理 员 通常 使 用 人 工 判 断 ， 耗 费时 间 和 资源 ， 难 于 作出 快速 判断 和 实时 响应 。 
有 必要 建设 一 套 自动 化 的 系统 来 对 日 志 进 行 统一 处 理 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

* ”网 络 监控 系统 发 展 历程 

仿 “ 统 一 安全 管理 的 基本 概念 

+ CS-MARS 部 署 及 配置 方法 

信 ”事件 控制 系统 的 功能 


11.4 统一 安全 管理 
应 用 实例 导航 : Sadness 公司 部 署 网 络 流量 监控 
XGZzm EG 


因 或 
S Kr 
因此 


AH, Sadness 公司 的 网 络 管理 员 Jam 对 设备 流量 进行 检查 ， 发 现 流量 急剧 加 大 ， 某 些 
Live Graph 流量 已 经 出 现 中 断 (如 图 11-1 所 示 ), 设备 被 攻击 导致 死机 。Jam 同时 发 现 防火 墙 、 


入 侵 检测 系统 和 CSA 管理 终端 发 出 大 量 日 志 ， 而 Jam 面 对 海 量 的 日 志 信息 却 无 从 下 手 


。 他 


迫切 希望 有 一 种 能 够 统一 管理 大 量 日 志 的 设备 ， 并 能 够 帮助 管理 员 作出 恰当 的 处 理 预案 。 


图 11-1 Sadness 网 络 流量 示意 图 


网 络 安全 大 全 m 
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(1) Syslog/SNMP, NetFlow 和 统一 安全 管理 等 3 种 网 络 监控 系统 的 特点 ; 
(2) CS-MARS (Cisco 监控 分 析 响 应 系统 ) 的 部 署 。 


11.1.1 ”网络 监控 系统 发 展 历程 


1. Syslog/SNMP 


最 早 对 于 网 络 设备 的 监控 采用 Syslog 日 志 的 方式 ， 后 期 使 用 了 基于 SNMP 协议 的 网 络 
管理 系统 ， 在 网 络 管理 平台 中 具有 代表 性 的 平台 有 SolarWinds、HP Openview、IBM Tivoli 
等 ， 这 些 软件 可 以 接收 一 些 Syslog 和 SNMP 消息 进行 处 理 并 绘制 图 表 。 例 如 MRTG(Multi 
Router Traffic GraphenD 可 以 通过 SNMP 获得 网 络 设备 中 的 流量 信息 ， 并 绘制 成 相应 的 流量 
图 ， 如 图 11-2 所 示 。 


Daily’ Graph (5 Minute Average) 


Bits per Second 


Maxin 99380 kb/s(999) Averageln 34033 khys (3496) — CumentIn 1900 5 kb/s (1 996) 
Max Out 99460 kb/s (99%) Average Out. 49208 kb/s (48%) Current Out. 33069 kb/s GIW) 


图 11-2 MRTG 流量 统计 图 
国内 较 多 的 园区 网 络 都 采用 基于 MRTG 和 Solarwinds( 如 图 11-3 所 示 ) 等 软件 的 网 络 管 
理 平 台 。 这 类 管理 平台 能 实现 拓扑 展示 、 关 键 文件 和 进程 的 监控 、 实 时 的 性 能 监控 、 故 障 
报警 、 故 障 分 析 并 进行 故障 定位 和 处 理 。 但 是 这 类 软件 仅 能 在 攻击 发 生 后 一 定时 间 察 觉 到 
流量 异常 ， 对 于 一 些小 流量 的 攻击 行为 根本 无 法 有 效 地 监控 。 


mr] 


11-3 Solarwinds 监控 软件 
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2. NetFlow 


NetFlow 是 Cisco 公司 提出 的 网 络 数据 包 交 换 技术 ， 该 技术 首先 被 用 于 网 络 设备 对 数据 
交换 进行 加 速 ， 并 可 同步 实现 对 高 速 转发 的 IP 数据 流 (Flow， 简 称 IP 流 ) 进 行 测 量 和 统计 。 
经 过 多 年 的 技术 演进 , NetFlow 原来 用 于 数据 交换 加 速 的 功能 已 经 逐步 改 由 网 络 设备 中 的 专 
用 集成 电路 (ASIC) 芯 片 实现 ， 而 对 流 经 网 络 设备 的 IP 流 进行 测量 和 统计 的 功能 却 更 加 成 
熟 ， 并 成 为 当今 互联 网 领域 公认 的 最 主要 的 卫 流量 分 析 、 统 计 和 计 费 行业 标准 。 图 11-4 所 
示 的 是 NetFlow 操作 界面 。 


Meme | Graphs [Detsis | Alerts || Stata Plugins, continous Bookmark URL Profe |imovt v 
Profile: inout Protocol Graphs, 


a — d P 


-— 一 


Fri Jum 1 01:05:00 2007 Flows/s any protocol 


, Le Scale" Sucked Ongh 
Display: [idm z] ««] «] 1] 二 | »] 2] 21) c LogScale C Line Graph 


Time slot and cursor controls Display Controls 


图 11-4. NetFlow 操作 界面 

为 了 对 运营 商 网 络 中 不 同类 型 的 业务 流 进行 准确 地 流量 和 流向 分 析 与 计量 ， 首 先 需要 
对 网 络 中 传输 的 各 种 类 型 数据 包 进 行 区 分 。 由 于 IP 网 络 的 非 面向 连接 特性 ， 网 络 中 不 同类 
型 业务 的 通信 可 能 是 任意 一 台 终 端 设备 向 另 一 台 终 端 设备 发 送 的 一 组 IP 数据 包 ， 这 组 数据 
包 实 际 上 就 构成 了 运营 商 网 络 中 某 种 业务 的 一 个 流 。 如 果 管 理 系统 能 对 全 网 传送 的 所 有 
Flow 进行 区 分 ， 准 确 记 录 传 送 时 间 、 传 送 方向 和 流 的 大 小 ， 就 可 以 对 运营 商 全 网 所 有 业务 
的 流量 和 流向 进行 分 析 和 统计 。 

通过 分 析 网 络 中 不 同 流 之 间 的 差别 ， 可 以 发 现 判 断 任何 两 个 人 P 数据 包 是 否 属于 同一 个 
流 ， 实 际 上 可 以 通过 分 析 IP 数据 包 的 源 IP 地 址 、 目 的 IP 地 址 、 源 端口 号 、 目 的 端口 号 、 
第 三 层 协议 类 型 、 服 务 类 型 (TOS) 字 节 、 网 络 设备 输入 或 输出 的 逻辑 网 络 端口 (ifttndex) 7 个 
属性 来 实现 。 

Cisco 公司 的 NetFlow 技术 就 是 利用 分 析 IP 数据 包 的 上 述 7 个 属性 ， 快 速 区 分 网 络 中 
传送 的 各 种 不 同类 型 业务 的 流 。 对 区 分 出 的 每 个 流 ，NetFlow 技术 可 以 进行 单独 跟踪 和 准确 
计量 ， 记 录 其 传送 方向 和 目的 地 等 流向 特性 ， 统 计 其 起 始 和 结束 时 间 、 服 务 类 型 、 包 含 的 
数据 包 数 量 和 字 节 数量 等 流量 信息 。 
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NetFlow 具有 强大 的 统计 功能 , 因此 对 于 一 些 异常 事件 可 以 较为 容易 地 反映 出 攻击 流量 
所 使 用 的 协议 和 端口 ， 方 便 用 户 进行 快速 响应 。 同 时 借助 NetFlow 的 信息 ， 可 以 有 效 地 构 
建 DDoS 清洗 中 心 (例如 第 9 章 中 介绍 的 DDoS 防御 系统 ) 等 。 


3. 统一 安全 管理 


随 着 企业 业务 逐渐 转移 到 互联 网 上 ， 企 业 对 于 这 些 业务 的 保障 需求 也 日 益 提高 ， 因 此 
一 系列 安全 改造 项 目 获得 执行 ， 同 时 大 量 的 网 络 安全 设备 加 入 到 企业 网 络 中 。 但 是 ， 网 络 
管理 员 将 面临 众多 设备 的 日 志 却 无 法 进行 处 理 ， 当 攻击 发 生 后 , 可 能 IPS/IDS 会 主动 进行 报 
警 ， 而 管理 员 由 于 一 些 低 端 IPS/IDS 误 报 率 较 高 ， 而 无 法 完全 信任 这 些 日 志 。 同 时 伴随 着 
NetFlow 等 监控 软件 报告 流量 异常 , 网 络 管理 员 也 有 可 能 认为 这 是 公司 的 正常 业务 流量 而 忽 
视 攻 击 行为 ， 即 便 是 防火 墙 的 报警 ， 网 络 管理 员 也 因为 某 些 防火 墙 经 常 报告 攻击 事件 而 忽 
视 真正 的 攻击 发 生 。 

网 络 管理 员 在 大 量 网 络 设备 发 出 的 相对 孤立 的 日 志 中 查找 出 攻击 行为 相当 困难 。 同 时 
这 也 使 得 管理 员 缺 乏 整个 网 络 的 意识 ， 仅 局 限于 某 个 孤立 设备 上 ， 无 法 有 效 而 快速 地 处 理 
攻击 事件 。IT 管理 者 们 更 希望 在 问题 发 生 的 时 候 ， 得 到 一 个 综合 全 面 的 安全 报告 ， 以 了 解 
企业 网 络 到 底 处 于 什么 样 的 状态 ， 遭 受过 什么 样 的 攻击 ， 正 面临 着 什么 样 的 危险 ? 而 不 是 
每 一 个 产品 信息 的 简单 罗列 ， 企 业 需 要 一 个 能 集中 管理 所 有 产品 信息 、 智 能 化 的 安全 管理 
中 心 。 

单纯 从 技术 的 角度 而 言 ， 目 前 业界 比较 认可 的 安全 网 络 的 主要 环节 包括 入 侵 防 护 、 入 
侵 检测 、 事 件 响应 和 系统 灾难 恢复 。 入 侵 防 护 主 要 是 在 安全 风险 评估 和 对 安全 威胁 充分 了 
解 的 基础 上 ， 根 据 对 安全 的 期 望 值 和 目标 制定 相应 的 解决 方案 。 入 侵 检 测 主要 是 通过 对 网 
络 和 主机 中 各 种 有 关 安 全 信息 的 采集 和 及 时 分 析 ， 发 现 网 络 中 的 入 侵 行为 或 异常 行为 ， 及 
时 提醒 管理 员 采 取 响 应 动作 以 阻止 入 侵 行为 的 继续 。 事 件 响 应 是 当 发 生 安全 事件 的 时 候 所 
采取 的 处 理 手段 ， 与 入 侵 防 护 和 入 侵 检测 不 同 ， 事 件 响应 主要 体现 为 专业 人 员 的 服务 和 安 
全 管理 。 系 统 灾难 恢复 是 指 如 何在 数据 、 系 统 或 者 网 络 由 于 各 种 原因 受到 损害 后 ， 尽 快 恢 
复 损失 前 的 状态 。 除 此 之 外 ， 风 险 评 估 、 安 全 策略 和 管理 规定 等 ， 经 常 也 被 作为 安全 保障 
的 重要 部 分 。 

但 是 不 论 有 多 少 环节 ， 要 想 实现 安全 的 网 络 ， 风 险 评 估 、 策 略 制定 、 入 侵 防 护 和 入 侵 
检测 等 都 是 应 急 响 应 的 准备 工作 ， 有 了 这 些 准 备 工 作 ， 事 件 响 应 才 可 以 及 时 得 到 各 种 必要 
的 审计 数据 ， 进 行 准确 的 分 析 ， 采 取 措 施 降 低 损 失 或 者 追踪 入 侵 者 的 来 源 等 。 因 此 ， 事 件 
响应 实际 上 将 各 个 环节 贯穿 起 来 ， 使 得 不 同 的 环节 互相 配合 ， 共 同 实现 安全 网 络 的 最 终 目 
标 。 而 事件 响应 能 否 在 攻击 者 成 功 达 到 目标 之 前 有 效 地 阻止 攻击 和 快速 响应 ， 不 但 取决 于 
安全 产品 本 身 采 取 的 技术 ， 更 取决 于 使 用 和 管理 产品 的 人 员 以 及 网 络 安全 信息 管理 平台 。 
优秀 的 信息 管理 分 析 工 具 ， 可 以 让 安全 管理 人 员 对 网 络 的 安全 状态 了 如 指 掌 ， 快 速 行动 ， 
真正 实现 安全 网 络 。 

CS-MARS 是 一 个 较为 成 熟 的 安全 管理 平台 ， 它 可 以 作为 多 种 网 络 平台 。 

信 ”交换 机 路 由 器 平台 : Cisco IOS 11.x 或 12.x、Catalyst OS 6.x, NetFlow v5/v7. NAC 

ACS 3.x、Extreme Extremeware 6.x 等 。 

+ ”防火 墙 /VPN 平台 : Cisco PIX 7.x, IOS Firewall, FWSM 1.x/2.2、VPN Concentrator 
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4.x, Cisco ASA, CheckPoint Firewall-1 NG FPx、VPN-1、NetScreen Firewall 4.x/5.x. 
Nokia Firewall 等 。 

+ ”IPS/IDS 平台 : Cisco NIDS 3.x/4.x/5.x. IDSM 3.x& 4.x/5.x. Enterasys Dragon NIDS 
6.x. ISS RealSecure Network Sensor 6.5/7.0. Snort NIDS 2.x, McAfee Intrushield 
NIDS 1.x, NetScreen IDP 2.x, Symantec ManHunt 3.x 等 。 

邻 “ 漏 洞 评 估 软 件 : eEye REM 1.x, Foundstone FoundScan 3.x 等 。 

邻 “ 主 机 安全 软件 :Cisco Security Agent (CSA) 4.x, McAfee Entercept 2.5/4.x, ISS 
RealSecure Host Sensor 6.5/7.0, Symantec AnitVirus 9.x 等 。 

信 ”操作 系统 的 系统 记录 : Windows NT、2000、2003( 有 代理 和 无 代理 )、Solaris、 Linux。 

+ ”应 用 服务 器 平台 : Web 服务 器 (IIS, iPlanet， Apache). Oracle 9i&10i 数据 库 审 
查 记录 、Network Appliance NetCache 等 。 

图 11-5 所 示 的 是 CS-MARS 的 外 观 。 


11-5 CS-MARS 的 外 观 


通过 对 大 量 系统 的 支持 ，CS-MARS 可 以 将 成 千 上 万 的 日 志 信息 进行 标准 化 处 理 ， 并 汇 
报 成 一 系列 攻击 报告 。 同 时 ， 对 于 每 个 可 能 的 攻击 进行 自动 地 脆弱 性 扫描 ， 检 查 攻 击 是 否 
成 功 到 达 目 标 ， 目 标 是 否 的 确 可 能 遭受 攻击 。 自 动 脆弱 性 扫描 会 使 用 关于 终端 系统 的 信息 
发 现 误 报 ， 制 定 规则 以 减少 将 来 对 可 能 攻击 的 分 析 和 处 理 。 

CS-MARS 可 以 利用 网 络 拓扑 发 现 同一 个 进程 的 不 同事 件 和 流程 。 这 些 事件 可 能 由 跨越 
NAT 边界 的 网 络 设备 生成 ， 因 而 可 能 拥有 不 同 的 源 及 (或 ) 目 的 地 地 址 和 端口 。CS-MARS 所 
采用 的 、 已 经 申报 专利 的 算法 可 以 利用 拓扑 知识 和 设备 配置 信息 ， 将 这 些 设 备 事件 关联 到 
同一 个 进程 。 这 可 以 减少 事件 数据 ， 创 造 出 整个 攻击 环境 。 

同时 它 可 以 利用 网 络 拓扑 减少 误 报 。 通 过 识别 同一 个 进程 的 事件 并 分 析 某 个 攻击 从 源 
到 目的 地 的 拓扑 路 径 ，CS-MARS 可 以 发 现 某 个 攻击 是 否 的 确 到 达 了 预定 的 目的 地 ， 或 者 被 
某 个 中 间 设 备 (例如 防火 墙 或 者 入 侵 防范 设备 ) 所 丢弃 。 

由 于 CS-MARS 的 部 署 方式 , 使 得 它 可 以 利用 网 络 拓扑 发 现 最 理想 的 防御 点 。 通过 分 析 
从 攻击 者 到 预定 目的 地 的 路 径 , CS-MARS 可 以 将 距离 攻击 者 最 近 的 设备 定 为 最 理想 的 防御 
点 。 设 备 配置 信息 还 让 CS-MARS 可 以 生成 准确 的 、 针 对 设备 的 防御 命令 。 

CS-MARS 还 可 以 利用 网 络 拓扑 发 现 攻击 路 径 和 网 络 热点 。CS-MARS 能 够 用 网 络 拓扑 
知识 找 出 攻击 的 拓扑 路 径 ， 发 现 攻击 者 和 攻击 主机 所 在 的 网 络 区 域 ,并 且 利用 网 络 拓扑 提高 
证 据 分 析 能 力 ， 如 图 11-6 所 示 。 因 为 CS-MARS 可 以 从 网 络 配置 了 解 NAT， 所 以 它 可 以 通 
过 识别 NAT 地 址 解析 和 攻击 者 MAC 地 址 大 大 增强 证 据 分 析 能 力 。 
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11-6 ”攻击 路 径 


11.1.2. 配置 CS-MARS 


FILA CS-MARS 为 例 ， 简 要 介绍 一 下 统一 安全 管理 的 实施 过 程 。 
Q 对 于 一 台新 的 CS-MARS， 由 于 没有 配置 卫 地 址 等 参数 ， 只 能 使 用 Console 端口 进行 配置 。 
利用 Console 端口 配置 CS-MARS 时 ， 超 级 终端 的 参数 设置 如 图 11-7 所 示 。 


11-7 配置 超级 终端 


Q 启动 CS-MARS 后 , 输入 正确 的 用 户 名 和 密码 ， 便 可 登录 到 CS-MARS。 在 默认 情况 下 ， 登 
录 CS-MARS 的 用 户 名 和 密码 都 是 “pnadmin” . 


4 
* * 

+ Protego MARS - Mitigation and Response System + 

* version : 4 . 2 . 1 (2250) * 

十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


CS-MARS login: pnadmin 
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Password: 
Last login: Wed Mar 26 16:36:20 2007 
CS MARS - Mitigation and Response System 
? for list of commands 
[pnadmin]$ 


根据 CS-MARS 的 部 署 位 置 ,配置 合适 的 人 地址 、 默 认 网 关 和 系统 时 间 . 需 要 注意 ,CS-MARS 
的 时 间 一 定 要 与 系统 其 他 设备 一 致 . 


[pnadmin]$ ifconfig eth0 192.168.0.100 255.255.255.0 


[pnadmin]$ ifconfig ethl 192.168.1.100 255.255.255.0 
[pnadmin]$ gateway 192.168.1.254 

[pnadmin]$ date 09/11/07 

[pnadmin]$ time 11:32:33 


使 用 ifconfig 命令 验证 上 述 配置 。 此 后 ， 对 CS-MARS 便 可 以 使 用 SSH 实施 远程 管理 。 


[pnadmin]$ ifconfig 
eth0 Link encap:Ethernet HWaddr 00:05:50:9C:74:45 
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:91 errors:0 dropped:0 overruns:0 frame:0 
TX packets:105 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:5969 (5.8 Kb) TX bytes:4410 (4.3 Kb) 
Interrupt:10 Base address:0x1080 
ethl Link encap:Ethernet HWaddr 00:0C:29:68:48:83 
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:343 errors:0 dropped:0 overruns:0 frame:0 
TX packets:153 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:27013 (26.3 Kb) TX bytes:16514 (16.1 Kb) 
Interrupt:9 Base address:0x1400 


开启 网 络 中 的 交换 机 和 路 由 器 的 Syslog 和 SNMP 服务 ， 以 便于 CS-MARS 获取 系统 日 志 。 


Router (Config)# logging on 

Router (config)# logging trap debugging 

Router (Config)# logging 191.168.1.100 

Router (config)# snmp-server community cisco RO 

Router (Config)# snmp-server host 191.168.1.100 cisco syslog 


开启 网 络 中 的 交换 机 和 路 由 器 的 NetFlow 功能 。 


Router (config)#ip flow-export source FastEthernet 0/0 

Router (config)#ip flow-export destination 192.168.1.100 9999 
Router (config)#ip flow-export version 5 

Router (config)#interface FastEthernet 0/0 

Router (config-if)#ip flow ingress 

Router (config-if)#ip flow egress 


如 果 网 络 中 还 ASA 调 协 ， 也 需要 开启 Syslog 和 SNMP 服务 。 


logging enable 

logging timestamp 

logging emblem 

logging monitor debugging 
logging buffered notifications 
logging trap warnings 
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logging history warnings 

logging host inside 192.168.1.100 format embleminterface gigabitEthernet 0/0 
snmp-server host inside 192.168.1.100 poll community cisco 

snmp-server community cisco 

snmp-server enable traps snmp authentication linkup linkdown coldstart 
snmp-server enable traps syslog 

snmp-server enable traps ipsec start stop 

snmp-server enable traps remote-access session-threshold-exceeded 


© 打开 正 浏 览 器 ， 在 地 址 栏 中 输入 “https-/<cs-mars-ip-address>” 登 录 到 CS-MARS， 如 图 11-8 
所 示 。 


e ILC: mars-dereo| Cisco Systems MARS 
XPO MO FEV WA IAD Heo 
beitio) [ neps.j/192.168.1.100/ 


Cisco Systems 


mm 


Password: 
Type: 


Copyright © 200: AI ngnts recerved. ceres Agreemene 


exe B Qe 


11-8. 登录 CS-MARS 


o 登录 成 功 后 ， 选 择 ADMIN 页 面 ， 单 击 Security and Monitor Devices 链接 ， 将 网 络 中 所 有 
CS-MARS 支持 的 网 络 设备 添加 进去 ， 如 图 11-9 所 示 。 


Cisco SYSTEMS 
mmr l 

Pm [e User Management || System Parameters | Custom Setup. 15 RE 

4D bwin | CS-MARS Standalone: mars-demo v4.2 Legin: Administrator (pracmin) z+ [iege] $t [zer 


Er Satu 


Configuration Information 


Hetwerka for Dynamic Vulnerability Scanning ( ectenal ) 


[Device Configuration and Discovery Information 


NetFicw Cerf Info ( opterel ) 


1-9 添加 设备 


O 单 击 Add 按钮 ， 在 下 拉 列 表 框 中 选择 设备 类 型 ， 并 配置 相应 的 SNMP 参数 ， 单 击 Next 按 
钮 ， 如 图 11-10 所 示 。 
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System Setup. 


Dy ADMIN | CS-MARS Standalone: mars-demo v4.2 Login: Administrator (pnadmin) i: - 


Note: 
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Device Type: [Cisco 105 12:2 
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@@ 如 果 配置 了 IOS 集成 的 IPS， 则 需要 单 击 Add IPS 按钮 。 如 图 11-11 所 示 。 


> Monitor pesource (VES 
Usage: 


Add Ps 


> *Device Name: [Sednessmouer | 
> acesi EE 
mepenmam — [nOn 33 
> *accese Type: [sune W) pr 
Cisco SysTews 
| 
Enable passwort: [— — — ] Ts 
REPRE: Sandacne: mars-demo ve.z Logn: Admimsirator (onadm 
manane [MM 
Et —— 


User name: C 
Password: | 
on 

1P To Access MARS: 


Cancel Submit 


Test Connectivity 


Copyright € 2003, 2095 Cisco Systems, Inc 
A agite reserved. 


Feedback 


11-11 添加 IPS 


Q 所 有 网 络 设备 添加 完成 后 ， 就 可 以 看 到 设备 列表 ， 如 图 11-12 所 示 。 
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Cisco Systems 


f ADMIN | CS-MARS Standalone: ma 


Security and Monitoring Information 


Sr mack 


图 11-12 查看 设备 列表 
QD 添加 完成 后 ,依次 单 击 Admin 一 Topology/Monitored Device Update Scheduler 链接 ， 升 级 网 
络 拓扑 ， 如 图 11-13 所 示 。 


Topology Discovery Information ( optional ) 


Community String and Networks 


Valid Networks 


Tonolcav/Monitored Device Update Scheduler 


图 11-13 升级 拓扑 
Q 网 络 拓扑 升级 完成 后 ， 可 以 单 击 Summary 链接 查看 网 络 拓扑 ， 如 图 11-14 所 示 。 
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RN 
A 11-14 ”查看 网 络 拓扑 
z 当 网 络 被 攻击 时 ， 就 可 以 看 到 详细 的 攻击 信息 ， 如 图 11-15 所 示 。 


在 图 11-15 中 单 击 My Reports 按钮 ， 可 以 看 到 最 近 攻 击 事件 列表 ， 如 图 11-16 所 示 。 
单 击 其 中 一 个 事件 ， 可 以 显示 出 详细 的 信息 
*370 * 


， 如 图 11-17 所 示 。 


[attack Disaram. 


formed Hotspot Graph. 
dem 
No Daen Cases 


No Repons Seleces 


[em] 


me le] 


Chart resolutio: JONET 


asma 


Recent Incidents 


11-15 ”攻击 拓扑 


E 


view 
FTETTTTT me PIENIN 
[ [incident ID ^ [Event Type [Matched Rule [Action|Time [Path [Cases 
I4istégr Suiteearcewn/permmed IF Successful Recon and Suffer Overton] aprz 20s invia 国 
Sorretion| FET- hor 22, 2006 
TEMP Firg Network Sweep]. puer 
WWW IIS da indgerng 
Service overom 
rtsiseso@r — Tcp Port sweep E). web - atemei[ apr 22, 2005 12:01:19 PM 国 图 
Www DIS vdo, p 
Sarica Overton 
iüaisceof  guit/tesrdgar/oermtted Ie lore exiit - mase maing worm) Apr 22, 2008 11:51:49 hn [B] BH. 
Serres TOT. Aor 22, 2006 
12:01:02 PN POT. 
IdAist79f  Bult/teareewr/oermtted IP — System Rule: Clert Exciot - Mass Maling Worm) Apr 22, 2006 11:46:49 AN 国 国 
pro FET hor 22, 2006 
5008 Am POT 
1üaista&Q! Buivteardogn/oermited IP — System Ru Aor 22, 2008 11:41:03 AN 
connection] pos FOT - Aor 22, 2006 LI 
0 AN POT 
hi4150450 Deny packet cue to cecurky  NatworkConfigërror fa) Apr 22, 2008 11:42:25 AM (NB BI 
pen) Ga 
IiiáiSO44Qf  Buit/teardgyn/oermttad IP System Rule: Clent Exolcit - Mass Malina Worm! Agr 22, 2008 11:40:52 AN [I B] 


correcnonl 


FET- hør 22, 2006 
11141148 AM POT 


Action: None. Time Range: chiosm 
Description: Succassful Reconn and Buffer Ovarfiow 
[orrcei[open t [source TP [Dectinanan T9. [Service wame [pee [neported user [keyword [severity [coumt] ) cose [operan 
1 STARGETOZ $TARGETOL — ANY Probe/HastEwaep/Nan sieath ANV None AN O1 On 
2 STARGETO? STARGETOL — ANY Prabe/PortSweeprstcahh aN None A A 1 FouowEo- 
时 
E manaeroz stangeton anv Fenevse/siferoverew/CNS, anv none av ow oa touoweo- 
Penairate/Bufreroverion/FT?, b 
Fereirate/tufierüverlou Mai, 
EE EU ed 
pee ate /SuPerOve 
Peneiraie dufe overon/Wweb 
< sTancero: anv E me/alsecsion av me amv Aw 1 
Incident 1: 12:0:5gr 回国 Eapana AW | [conapee an 
[orser[sescion 7 - [Event Type IScurce IP]Port CITIZ Inepcrting]Repcrted|ram 7 Faize 
[incident TD penie "user. [mitigate Positive: 
T Eraz 
1 — Suec», ICMP mgo Newor< — ananizrl) old)  ierisniio[o B) 1ce G) Pi 22 008 21 PMET False Posti 
déispep Sweep iis An mag Ps 
1 — silas0003， ICMP PngNewore — 440123 国 0 国 192165440 国 0 国 reme False Posti 
T4250 Sweep 


图 11-17 ”攻击 事件 
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Q 单 击 红色 按钮 ， 可 以 显示 出 攻击 路 径 ， 如 图 11-18 所 示 。 


2006 12:01:18 PM POT HQ-SW-1- 
ism Eh 


2006 12:01:19 PM POT HQ-NIDSI. 


2006 12:01:19 PM PDT HQ-SW-1- 
[43 


nu-wan-roge-xouter 
Alternate 


HQ-SW-1-msic 
HA-PW-1 


图 11-18 ”攻击 路 径 
Q 同时 ， 在 窗口 的 下 方 还 可 以 看 到 相应 的 缓解 攻击 建议 ， 如 图 11-19 所 示 。 


Recommended L3 policies/Commands 


* [1p access-list extended 
deny icmp host 40.40.1 


11-19 缓解 攻击 建议 


的 点 评 与 拓展 : CS-MARS 是 一 个 非常 简单 而 便捷 的 网 络 安全 管理 系统 , 它 可 以 方便 
地 添加 设备 ， 并 自动 绘制 拓扑 图 。 通过 一 定时 间 的 学 习 后 ，CS-MARS 便 可 以 进行 动态 的 检 
测 ， 并 可 以 非常 智能 地 给 出 攻击 缓解 策略 以 供 管理 员 选 择 。 


11.2 事件 控制 系统 


除了 统一 的 安全 管理 软件 以 外 ，Cisco 还 提供 了 事件 控制 系统 (Incident Control System, 
ICS) 用 于 防御 病毒 、 蠕 虫 等 突 发 事件 。ICS 是 Cisco 和 Trend Micro 合作 产生 的 一 个 产品 ， 
TrendLabs 不 断 监控 Internet， 用 以 发 现 新 的 病毒 爆发 。 当 Trend 监控 到 病毒 爆发 后 ， 通 过 相 
应 的 威胁 分 析 、 快速 响应 以 及 其 他 相关 测试 确立 杀毒 方案 , 并 将 其 转送 到 Trend 的 自动 升级 
服务 器 (AU) 上 ， 当 检测 到 一 个 恶意 软件 爆发 后 ，Trend 同样 会 开发 出 一 个 爆发 预防 访问 控制 
列表 (OPACL), 通常 这 样 的 OPACL 在 爆发 后 15 分 钟 就 可 以 发 布 。 此 后 Trend 会 继续 发 布 一 
se 
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个 预防 签名 (OPSig)。 

Cisco ICS 服务 器 将 自动 连接 到 AU 服务 器 ,下 载 OPACL 和 OPSig, 并 给 相应 的 IPS 设 
备 进行 特征 码 升 级 ， 同 时 为 Cisco 交换 机 和 路 由 器 发 送 ACL， 使 得 网 络 设备 可 以 在 很 短 的 
时 间 内 完成 漏洞 修复 和 攻击 预防 工作 。 图 11-19 所 示 是 Cisco ICS 服务 器 部 署 示意 图 。 
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11.3 本 章 小 结 


本 章 通过 介绍 CS-MARS 和 ICS 提供 了 一 种 园区 网 络 统一 管理 和 漏洞 快速 修复 方式 。 
通过 部 署 这 样 的 系统 , 网络 管理 员 将 更 加 容易 应 对 攻击 事情 , 并 通过 CS-MARS 可 以 快速 得 
到 攻击 缓解 措施 ， 而 无 须 应 对 大 量 的 日 志 


kd 


除了 常规 网 络 安全 以 外 ， 机 密 文件 的 加 密 也 是 网 络 安全 的 一 部 分 。 无 论 网 络 设备 如 何 
的 安全 ， 如 果 文 件 没有 很 好 地 加 密 ， 很 有 可 能 导致 内 部 盗用 ， 从 而 威胁 整个 组 织 的 安全 。 
因此 需要 对 机 密 文件 进行 加 密 ， 并 存放 在 专门 的 数据 中 心中 ， 设 置 相应 的 访问 权限 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

信 Windows RMS 服务 器 的 部 署 

今 “ 对 文件 夹 使 用 EFS 进行 加 密 


12.4 Windows RMS 部 署 


应 用 实例 导航 : Sadness 公司 保密 文件 权限 控制 


※ 场 景 呈现 


Sadness 公司 需要 进行 外 部 审计 ， 要 将 部 分 财务 数据 文件 给 外 部 审计 人 员 访 问 ， 但 是 
Sadness 公司 数据 均 使 用 共享 文件 服务 器 存放 ， 如 果 开 放权 限 ， 外 部 审计 人 员 将 能 够 访问 很 
多 机 密 数 据 ， 因 此 财务 部 人 员 希 望 Jam 能 够 为 他 们 设计 一 套 安全 的 文件 权限 分 发 系统 ，Jam 
采用 了 Windows RMS( 权 限 管理 服务 ，Rights Management Service) 来 提供 权限 分 发 工作 。 


※ 技 术 要 领 


(1) RMS 的 主要 功能 ; 
Q) RMS 服务 器 的 安装 与 配置 ; 
G) RMS 客户 端的 安装 与 配置 。 


12.1.4 RMS 概述 


AEAT ARER E RAR RE ER E E HAC Ho E S EH FREI e EB TE UL RC GR 
利用 。 此 外 ， 信 息 窃 取 行为 的 不 断 增 多 以 及 对 保护 数据 的 立法 呼声 的 高 涨 ， 使 得 如 何 更 好 
地 保护 数字 信息 这 一 需求 变 得 更 为 强烈 。 现 在 ， 使 用 计算 机 来 创建 和 处 理 以 上 类 型 敏感 信 
息 的 情况 越 来 越 多 ， 通 过 专用 网 络 和 公共 网 络 (包括 Intemeb 扩 大 连接 也 日 益 普及 ， 而 计算 
设备 的 功能 也 愈 来 愈 强大 ， 这 一 切 都 使 得 保护 组 织 数据 成 为 必需 的 安全 事项 。 


m 网 络 安全 大 全 加 
数字 内 容 的 类 型 可 能 包括 信息 门户 中 的 动态 且 由 数据 库 驱 动 的 报告 、 机 密 的 电子 邮件 、 
战略 计划 文档 、 军 事 防御 报告 以 及 其 他 敏感 的 政府 文件 等 。 组 织 会 创建 和 使 用 各 种 各 样 希 
望 保护 或 必须 保护 的 重要 内 容 。 
以 下 列 出 了 一 些 可 以 使 用 RMS 来 保护 的 内 容 。 
今 “ 传 统 的 数字 文件 和 信息 。 典 型 的 传统 数字 文件 和 信息 ， 包 括 电子 邮件 通信 、 与 
目 有 关 的 文档 、 机 密 报 告 、 市 场 营销 计划 和 产品 介绍 等 。 
* ”组 织 专 有 信息 : 高 级 管理 层 通过 此 信息 来 管理 、 监控 和 指导 组 织 的 活动 ， 此 类 专 
有 信息 可 能 包括 组 织 的 销售 和 市 场 份 额 报告 、 财 务 绩效 信息 以 及 战略 预测 与 综述 ， 
如 果 不 恰 当地 分 发 或 使 用 此 类 信息 ， 可 能 会 在 竞争 市 场 或 法 律 诉讼 中 给 组 织带 来 
巨大 损失 。 
部 署 RMS 可 以 作为 保护 此 类 敏感 信息 的 安全 战略 的 重要 组 成 部 分 。 


12.1.2 ”安装 与 配置 RMS 服务 器 


RMS 系统 建立 在 Windows Server 2003 操作 系统 之 上 ， 由 服务 端 和 客户 端 两 部 分 组 成 。 
其 中 ， 服 务 端 只 能 安装 在 Windows Server 2003 F, 不 能 安装 在 Windows Server 2000 或 以 下 
版 本 上 。 

安装 RMS 首先 需要 有 活动 目录 支持 ， 其 次 需要 有 电子 邮件 ， 还 需要 MSMQ( 消 息 队 列 ) 
和 数据 库 支持 。 下 面 简 要 地 介绍 一 下 RMS 服务 器 的 安装 与 配置 过 程 。 

Q 双击 RMS 安装 文件 ， 打 开 RMS 安装 向 导 ， 单 击 【 下 一 步 】 按 钮 。 在 【许可 协议 】 页 面 选 

中 【我 同意 】〗 单 选 按钮 以 同意 许可 协议 ， 并 单 击 【下 一 步 】〗】 按 钮 继续 ， 如 图 12-1 所 示 。 
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图 12-1 开始 安装 RMS 
Q 在 【选择 安装 文件 夹 】 页 面 中 ， 根 据 安装 的 需求 选择 所 安装 的 文件 夹 ， 并 单 击 【 下 一 步 】 
按钮 继续 ， 如 图 12-2 所 示 。 
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图 12-2 ”选择 安装 路 径 
O RERE, $h LAA] RA, wA 12-3 所 示 。 
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图 12-3 ”完成 安装 


O 依次 单 击 【 开 始 】 一 【程序 】 一 Windows RMS^ [Windows RMS 管理 】 命 令 ， 如 图 12-4 
所 示 。 
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图 12-4 启动 RMS 
Q 在 RMS 全 局 管理 界面 中 ， 单 击 【 在 此 网 站 上 设置 RMS】 链 接 ， 如 图 12-5 所 示 。 
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图 12-5 RMS 管理 界面 


Q 设置 RMS 根 认证 服务 器 。 在 默认 情况 下 ，RMS 会 检测 Active Directory 林 中 是 否 安装 根 认 
证 服务 器 ， 若 没有 安装 将 此 服务 器 将 设置 为 根 认证 服务 器 。 设 置 过 程 为 根 认 证 群集 设置 资 
源 ， 包 括 RMS 使 用 的 数据 库 ， 如 图 12-6 所 示 。 此 后 ， 加 入 此 群集 的 所 有 服务 器 都 将 使 用 
相同 的 数据 库 。 


A gus) 检测 到 | 此 Act ee 林 中 未 安装 根 认证 服务 : 


器 , 因 
过 程 为 要 认证 亲人 设置 使 用 的 数据 库 。 加 入 此 群 


个 根 认 证 丢 务 器 。 加 果 不 能 确定 此 职务 器 是 否 格 作为 企业 的 


图 12-6 设置 RMS 根 认 证 服务 器 
Q 选择 RMS 数据 库 ， 如 果 没 有 特别 需求 保持 默认 设置 ， 如 图 12-7 所 示 。 


RIBER 

6 本 地 数据 库 
ms 自动 包 建 配置 数据 库 。 它 可 使 用 e: 
saL t wor. E CORSERE 


着 外 于 请 提供 数 血库 SEEESHS 


如 果 洲 据 库 服务 器 昨 本 地 服务 器 , 但 
SRSHBSETR. ERLER 


图 12-7 配置 RMS 数据 库 


选择 RMS 服务 账户 ， 如 果 没 有 特别 需求 保持 默认 设置 ， 如 图 12-8 所 示 。 
设置 群集 URL， 如 果 没 有 特别 需求 保持 默认 设置 ， 如 图 12-9 所 示 。 
设置 私 钥 保 护 和 注册 ， 输 入 相应 的 密码 ， 如 图 12-10 所 示 。 

进行 吊销 设置 后 ， 单 击 【 提 交 ]】 按钮， 如 图 12-11 所 示 。 

Q 提交 后 ，RMS 将 自动 向 服务 器 进行 注册 ， 如 图 12-12 所 示 。 


e800 
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ms EXP =n 
G 本 地 系统 帐 户 (公用 于 单一 计算 机 安装 ) 

指定 Bas 的 服务 帐户 。 对 于 单一 服 

ELM DEI 

BOSUINERecE RU 


onn 
lOMkDMaccount). Jy BS 服务 帐户 
指定 的 城 帐户 不 能 与 用 于 安装 MS 
的 帐户 相 | 


EU 本 地 系统 帐户 几乎 可 以 访问 操 
LE Td 
重 的 安全 障 吉 。 加 有 可 能 ， DERSE 
用 本 地 系统 帐户 - 


12-8 ME RMS 服务 账户 


群集 UL 
全 业 中 的 有 效 URL. = [HrrP:77 x] [sadness-53648y0 n 
Ti 


uL 包括 此 服 : 
和 请 口号 pe 80,91 
30 http: //ServerWane: 6000. 


图 12-9 设置 群集 URL 


Vs FROBRETUHORUXV. 


mS HIRGHORRI EXDM. URGES IPSRURCHOEYUE UE - 
Briers IESUS ms aen EE 
med 


ERES 
LE WA S RSERUDEIQM Bw Ew 
Ld 请 提供 一 个 强 密码 来 加 


请 为 服务 器 许可 方 证 书 指定 一 个 名 
称 。 默 认 值 是 该 服务 器 的 和 名称 。 服务 器 许可 方 证 书 各 称 - 


请 提供 管理 员 的 联系 信息 On [Fadness-53648y0 


BISAdnirüdonain com). 
管理 联系 人 


一 一 一 一 一 


12-10 设置 群集 URL 


指定 可 吊销 旨 的 企业 许可 方 证 书 的 第 三 方 公 钥 。 
居 复 方 革职 安全 方案 中 。 DAETA Siis 
ps E BATEE REAREA: 

BU ERST a picea ——  — á— 

LI peer] ME. | 
息 ， 请 参阅 证 书 实行 声明 中 了 

HX Microsoft PERBU 

B. 

指定 可 签署 刷 销 列表 以 刷 铂 服 务 器 许 

可 方 证 书 的 第 三 方 的 公 角 。 


£i 


12-11 吊销 设置 


正在 此 服务 器 上 设置 Windows Rights Management Services， 请 稍 候 


正在 设置 日 志 记录 。 


图 12-12 注册 RMS 


“Ss 


m 网 络 安全 大 全 m 


超 链接 后 将 打开 【RMS 全 局 管理 】 页 面 ， 
侧 相应 的 链接 即 可 进入 到 参数 设置 管理 页 
于 大 部 分 RMS 服务 参数 使 用 默认 值 即 可 ， 


© 


= sre 的 eN pen 


管理 默认 网 


Managenent. Services 


@ 完成 后 , 单 击 【返回 ] 按 钮 回 到 全 局 管理 界面 (如 图 12-5 所 示 ), 单 击 【在 此 网 站 上 管理 RMS】 


如 图 12-13 所 示 。 单 击 【RMS 全 局 管理 】〗 页 面 左 
面 ， 对 某 些 RMS 服务 参数 进行 手工 配置 。 其 实 对 
除非 有 特殊 的 需要 ， 一 般 不 需要 手工 配置 。 


10 


ms 全 局 管理 使 用 此 页 可 查看 和 更 疏 此 群集 的 配置 设置 。 在 群集 中 ， 所 有 服务 器 都 共享 一 个 配置 数据 库 及 其 设置 。 每 个 
SEREH “EN” ESTRAE. 

BEST EE Eq ctory 中 没有 检测 到 服务 连接 点 。 在 AX。 ctery 中 注册 mS 服务 URL 
之 前 , 理 b. 该 服务 。 请 单 击 下 面 的 M 服务 连接 点 链接 以 注册 SCP. 

信任 策略 

PIRRE 群集 资源 

Poea 授权 m: 7 — 

: :http://sedness-5364870/_recs/Licensine 
We 群集 的 URL 外 部 授权 
e 外 部 认证 vx. 

a APARRI 认证 wL: 

安全 设置 BEFEZE: sedness-536548y0\nsfx 

认证 设置 E:  DBNS Config sadness 535490 80 

p 服务 器 许可 方 证 书 -。 :sdness-ss648y0 

pep m 证 书 过 期 日 期 : 2003-10-6 
s 服务 连接 点 

SE ERE xa 密 钥 层次 结构 : Froduction 
要 请 下 一 个 新 的 服务 器 许可 方 下 书 ， aes eun. 
I 

12-13 RMS 管理 界面 


QD £4 【RMS 服务 连接 点 了 链接 ， 进 入 设置 页 ， 按 提示 注册 URL， 如 图 12-14 所 示 。 


[2 


mm 


BEER m ema 


[n 
EE EM 


EXdUWEnYAS MERI 
和 


As. mPEPUGOGERID 


yu 


EM E ELA 
FERMEN, DEBATE 
S TRAR UR 
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12.1.3 


UDIN 
MNN ue RIEU WRL 是 不 可用， 


icu unn UE Letive Dursstory PRRRSTRA. 
ES tB RICO CUE. 


menm] 


注册 RMS 服务 连接 点 


安装 与 配置 RMS 客户 端 


RMS 服务 器 安装 与 配置 完成 后 ， 就 可 以 在 进行 文件 加 密 的 客户 机 中 安装 RMS 客户 端 
软件 了 。 下 面 简要 介绍 一 下 RMS 客户 端的 安装 与 配置 过 程 。 
Q 从 Intemet 上 按照 如 下 地 址 下 载 RMS 客户 端 软件 。 


http://www.microsoft.com/download. 


1da-8455-0424d7033372b&displaylang- 


s/details.aspx?FamilyID-al54648c-881a-4 
zh-cn 


Q 在 用 户 计算 机 上 安装 RMS 客户 端 软件 。 安装 方法 很 简单 ， 只 需 依次 单 击 【 下 一 步 】 按 钮 即 


可 ， 如 图 12-15 所 示 。 
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s 912 文件 安全 a 
EISE: 


cent EPR 


欢迎 使 i i r7 
Ar O eee nee — 3 


METH ERES Æ Service Pack 2 的 Windows Rights 
Management 客 | 5 


取消 EE 
图 12-15 安装 RMS 客户 端 
© 进入 DRM 目录 ， 找 到 Actmachine 命令 ， 执 行 如 下 命令 下 载 密码 箱 。 


actmachine.exe /n /p c:\wrmstemp.cab 


© 将 wmstemp.cab 解压 至 system32 目录 下 ， 产 生 一 个 secrep.dll 和 一 个 secrep.inf 文件 ， 使 用 
如 下 命令 进行 安装 。 
rundll32.exe advpack.dll, LaunchINFSection secrep.inf, Install,, N 
QD È 9 Microsoft Office 等 支持 RMS 的 软件 ， 选 择 某 个 文档 进行 RMS 设置 例如 ， 要 对 某 一 
Word 文档 进行 RMS 设置 ， 可 以 单 击 工具 栏 中 区 图 标 ， 便 弹出 了 如 图 12-16 所 示 的 对 话 框 。 
Q 在 【权限 】 对 话 框 中 ， 根 据 实际 需要 设置 文档 的 权限 ， 如 图 12-17 所 示 。 
的 点 评 与 拓展 : RMS 是 一 种 简单 而 又 安全 的 文件 权限 设置 工具 ， 为 了 扩大 RMS JR 


务 的 应 用 范围 现在 微软 正在 积极 与 一 些 软件 开发 商 、 系 统 集成 商 合作 以 开发 出 更 多 的 支持 
RMS 服务 的 应 用 程序 产品 。RMS 配合 EFS 文件 加 密 系统 可 以 进行 数据 安全 保护 。 


Microsoft Office 


* 连接 到 Microsoft Office 
mine 
”车 tora 的 新 新 


^ 自动 从 网 站 更 新 此 列表 
xa 


图 12-16 设置 RMS 


全 


m 网 络 安全 大 全 m 


加 密 文件 系统 (EFS) 


ETT 


FE 
以 下 用 户 具有 访问 此 文档 的 权限 QD. 


图 12-17 设置 RMS 权限 


12.2 EFS 加 € 


是 Windows 2000、Windows XP Professional (Windows XP Home 
不 包含 EFS) 和 Windows Server 2003 的 NTFS 文件 系统 的 一 个 组 件 , 它 采用 高 级 的 标准 加 
密 算法 实现 透明 的 文件 加 密 和 解密 。 任 何不 拥有 合适 密 钥 的 个 人 或 者 程序 都 不 能 读 取 加 密 
数据 ， 即 便 是 物理 拥有 保存 加 密 文件 的 计算 机 ， 加 密 文件 仍然 受到 保护 ， 甚 至 是 有 权 访 问 


计算 机 及 其 文件 系统 的 用 户 ， 也 无 法 读 取 这 些 数 据 。 
下 面 是 对 文件 进行 加 密 的 操作 步骤 。 


Q 选 定 需要 进行 EFS 加 密 的 文件 夹 ， 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【属性 】 命 令 ， 弹 出 文 


件 夹 的 【属性 】 对 话 框 ， 单 击 【 高 级 】〗 按 钮 ， 如 图 12-18 所 示 。 


O 在 文件 的 【高 级 属性 】 
定 】， 如 图 12-19 所 示 


对 话 框 中 ， 选 中 【加 密 内 容 以 便 保 护 数据 〗 复 选 框 ， 然 后 单 击 【 确 


ms 属性 
ELRES 安全 BEX 
[" p 
ano zm 文件 天 
排列 图 标 山 » fum C:\Documents and SettingsVKevin FangV dn. 
BB 大 小 131 wb (37,564,205 字 节 ) 
BELTE SASA 131 MB (137,654,272 F5) 
E 4T 个 文件 。2 个 文件 夫 
REA. ”2007 年 s 月 1 日 ，13-20-19 
ew » 
m BRET Cmo 
cB OD 
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12-18 ”使 用 EFS nu 


a 第 12 章 xttES$s 
menge ee 
(gi ERAT utem 的 设置. 
QRRSUHERSRSEENERMERT 
-存档 和 编制 过 引 悄 性 


口 TAFSER A 
贺 为 了 快速 搜索 ,允许 案 引 服务 编制 该 文 件 夫 的 索引 D 
| EsbxmpEREE 
C 压缩 内 容 以 便 节省 磁盘 空间 O 
加 EEPHESUUISEHPEHS Qi 详细 信息 加 


图 12-19 ”选中 【加 密 内 容 以 便 保护 数据 】 复 选 框 
© 在 【确认 属性 更 改 】 对 话 框 中 ， 若 选中 【 仅 将 更 改 应 用 于 该 文件 夹 〗 单 选 按钮 ， 系 统 将 只 
将 文件 夹 加 密 ， 里 面 的 内 容 并 没 经 过 加 密 ， 但 是 以 后 在 其 中 创建 的 文件 或 文件 夹 将 被 加 密 ; 


车 选 中 【将 更 改 应 用 于 该 文件 夹 、 子 文件 夹 和 文件 〗 单 选 按钮 ， 文 件 夹 内 部 的 所 有 内 容 被 
加 密 ， 如 图 12-20 所 示 。 


确认 原 性 更 改 e 
JECASIE FON RRIESECTULT IR. 
mE 


只 格 该 更 改 应 用 于 恋 文 件 夹 ， 还 是 同时 应 用 于 所 有 子 文 件 灾 和 文件 ? 


12-20 选择 应 用 加 密 更 改 的 文件 范围 


Q $t MARIREA, RER TXEN EFS 加 密 操作 。 此 时 ， 文 件 夹 颜色 会 发 生 改 变 ， 表 
示 EFS 加 密 操 作成 功 。 


123 本 章 小 结 


本 章 介 绍 了 基于 微软 RMS 的 文件 权限 管理 系统 , 同时 也 介绍 了 使 用 EFS 进行 文件 加 密 
的 配置 过 程 。 文 件 加 密 和 权限 控制 也 是 园区 网 络 安全 中 非常 重要 的 一 环 ， 对 于 数据 中 心 ， 
可 以 使 用 其 他 更 加 严格 的 加 密 方 式 进行 加 密 处 理 。 
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通过 前 面 12 章 的 学 习 ， 我 们 了 解 了 实现 网 络 安全 的 一 些 策略 和 方法 ， 而 如 何 有 效 地 将 


这 些 策略 结合 起 来 ， 设 计 一 个 安全 的 园区 网 络 成 为 我 们 必须 讨论 的 话题 。 网 络 安全 也 遵从 
“ 木 桶 理论 ”( 一 个 木 桶 能 盛 多 少 水 取决 于 最 短 的 那 块 木板 有 多 长 )， 网 络 安全 中 最 薄弱 的 一 
环 决定 了 整个 网 络 的 安全 状况 ， 因 此 网 络 安全 并 不 是 简单 地 添加 一 个 防火 墙 或 者 一 个 入 侵 
检测 系统 ， 网 络 安全 是 一 个 整体 ， 需 要 每 个 环节 的 提升 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 
小 型 企业 网 络 安全 设计 
中 型 企业 网 络 安全 设计 
大 型 企业 网 络 安全 设计 
校园 网 络 安全 设计 
运营 商 网 络 安全 设计 


13.4. 小 型 企业 网 络 安全 设计 
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应 用 实例 导航 : 小 型 企业 SAAA 网 络 安全 解决 方案 


PERSE 


SAAA 是 一 家 刚 起 步 的 小 型 企业 ， 企 业 的 网 络 规模 不 大 ， 用 于 网 络 安全 建设 的 费用 相 
对 较 少 ， 因 此 设计 网 络 安全 方案 的 时 候 ， 需 要 综合 价格 和 安全 性 等 因素 进行 考虑 。SAAA 
创立 初期 的 网 络 拓扑 结构 如 图 13-1 所 示 。 


图 13-1 小 型 企业 网 络 


※ 设 备 清单 
Q) 路 由 器 : 仅 支 持 NAT 等 简单 功能 以 及 仅 支 持 RIP 协议 的 小 型 企业 路 由 器 ; 


| m 网 络 安全 大 全 加 


(2) 交换 机 : 多 台 普 通 24 口交 换 机 ， 不 支持 VLAN 等 功能 ; 

G) 服务 器 : 基于 微软 IIS 的 Web 服务 器 和 FTP 服务 器 ， 未 作 任 何 相关 的 安全 配置 
(à) 办 公用 机 : 50 一 100 台 普 通 台 式 机 或 者 笔记 本 ， 未 安装 杀毒 软件 或 长 期 没有 更 新 ; 
(5) ER AP: 没有 任何 加 密 措施 。 


企业 的 发 


如 应 用 实例 中 的 小 型 企业 网 络 在 我 国 十 分 常见 ， 通 常 这 类 企业 在 刚 起 步 的 阶段 并 没有 
足够 的 精力 投入 到 网 络 建设 上 来 。 其 内 网 环境 与 大 多 数 网 吧 一 样 ， 组 网 方式 随意 性 很 强 ， 
安全 防护 手段 部 署 原则 不 明确 ; 网 段 间 的 边界 不 清晰 ， 并 且 网 段 间 的 控制 较 差 ， 通常 为 了 
能 够 访问 ， 将 内 网 中 很 多 机 器 允许 外 网 访问 ; 对 于 病毒 等 防御 措施 不 够 ,攻击 容易 扩散 
并 且 在 攻击 爆发 后 ， 没 有 缓冲 处 理 时 间 ; 虽然 有 些 企业 购买 了 防火 墙 等 安全 设备 ， 但 错误 
的 配置 却 无 法 发 挥 作 用 。 

设计 一 个 安全 的 园区 网 络 ， 通 常 按照 如 图 13-2 所 示 的 区 域 对 网 络 进行 划分 ， 然 后 根据 


展 阶段 添置 相应 的 区 域 。 例 如 ， 小 型 企业 的 网 络 规模 较 小 ， 并 不 需要 专用 的 管理 


区 域 ， 同 时 可 能 由 于 资金 有 限 ， 仅 需要 简单 的 VPN 服务 。 


. 
u 
oo 


13-2 ”安全 园区 网 络 区 域 划分 


在 进行 网 络 安全 升级 的 时 候 ， 首 先 需 要 做 的 就 是 对 公司 安全 现状 的 了 解 ， 并 对 安全 状 
况 进 行 审计 ， 确 定 需要 升级 的 环节 。 
例如 ， 对 前 文 所 述 的 某 小 企业 进行 安全 审计 的 结果 如 下 。 


E9999 


5244929 


网 络 没有 明显 的 区 域 划 分 ; 

网 络 中 没有 任何 安全 设备 ; 

Web 服务 器 和 FTP 服务 器 没有 安全 保护 ; 

办 公 杀 毒 软件 和 系统 补丁 升级 不 及 时 导致 非常 容易 受到 攻击 ; 
无 线 网 没有 加 密 。 


应 对 这 些 情况 ， 需 要 进行 升级 的 项 目 如 下 。 


配置 WSUS 服务 器 ， 确 保 系 统 补丁 能 够 快速 安装 ; 
每 台 机 器 使 用 杀毒 软件 需 及 时 更 新 ; 

购置 防火 墙 等 设备 ， 确 保 关 键 服务 器 安全 ; 

无 线 网 络 采用 加 密 的 方式 进行 接 入 ; 

企业 网 络 需 要 进行 较为 明显 的 区 域 划分 。 


e 第 13 章 园区 网 络 安全 设计 s 
整个 安全 升级 可 以 按照 上 述 需 求 进行 。 这 里 ， 我 们 根据 企业 的 预算 设计 了 3 种 不 同 的 
升级 方案 。 
1. 廉价 升级 方案 


很 多 小 型 企业 已 经 购置 了 Windows 2003 企业 版 系统 ， 因 此 可 以 先 基于 Windows 2003 
系统 的 一 些 服务 进行 安全 改造 。 

信 WSUS 服务 : 使 系统 安全 补丁 能 够 快速 分 发 ; 

* ”活动 目录 、 证 书 服务 : 方便 企业 管理 ， 并 为 企业 后 续 发 展 提供 一 个 好 的 基础 ; 

今 “ RMS 服务 : 方便 文件 权限 管理 ; 

今 “Radius 服务 : 为 用 户 接 入 提供 身份 认证 。 

防火 墙 及 VPN 可 以 选择 使 用 基于 Linux 的 解决 方案 ， 并 且 还 可 以 配置 基于 Linux Snort 
的 IDS 方案 ， 同 时 设置 两 台 IDS 分 别 监 控 服 务 器 区 域 和 办 公 区 域 。 对 于 无 线 网 络 ， 需 要 使 
用 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP, 一 些 SOHU 级 的 无 线路 由 器 即 可 满足 廉价 型 升级 


方案 的 需求 ， 例 如 Linksys WRT54G。 同 时 可 以 在 这 类 路 由 器 上 安装 第 三 方 的 固件 使 其 拥有 
功率 控制 功能 ， 有 效 防止 公司 外 部 的 非法 侦 听 。 


杀毒 软件 可 以 选择 Norton 或 者 Trend Micro 企业 版 杀毒 软件 , 但 是 我 们 建议 选择 趋势 的 
企业 版 杀毒 系统 ， 因 为 随 着 公司 规模 的 不 断 扩大 ， 以 后 使 用 ASA、NAC 等 技术 的 时 候 ， 可 
以 充分 利用 趋势 企业 版 杀毒 软件 。 

前 端 路 由 器 可 以 选择 Linksys RV402， 它 不 但 提供 双 线路 接 入 功能 ， 还 可 以 提供 简单 的 
防火 墙 和 VPN 接 入 功能 ， 售 价 也 非常 便宜 

小 型 企业 廉价 升级 方案 所 需要 设备 清单 如 表 13-1 所 示 。 


表 13-1 小 型 企业 网 络 廉价 升级 方案 设备 清单 


名 _ 称 描 _ 述 A om 
服务 器 WSUS 服务 器 1 
CA 服务 器 有 
AD 服务 器 1 
RMS 服务 器 1 
Linux IDS 服务 器 2 
Linux 防火 墙 服务 器 1 
Windows/Linux Radius 服务 器 1 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
杀毒 软件 Norton/Trend Micro SOH 企业 版 杀毒 软件 1 
路 由 器 Linksys RV402 1 


实施 廉价 升级 方案 后 的 网 络 拓扑 如 图 13-3 所 示 。 
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图 13-3 ”小 型 企业 网 络 廉价 升级 方案 


2. 高 性 价 比 升级 方案 


对 于 主要 是 电子 、 通 信 、 软 件 等 行业 的 用 户 ， 它 们 通常 需要 更 加 安全 的 网 络 来 保护 企 
业 的 程序 、 代 码 等 。 但 是 很 多 企业 面 对 激 烈 的 竞争 ， 不 可 能 提供 很 多 经 费用 于 这 样 的 升级 ， 
因此 他 们 是 小 企业 高 性 价 比 升级 方案 的 使 用 者 ， 通 常 这 类 方案 在 廉价 方案 的 基础 上 更 换 了 
更 加 安全 的 防火 墙 产 品 ， 并 且 严 格 控制 客户 端的 接 入 ， 防 止 内 网 病毒 导致 的 数据 丢失 等 ， 
这 类 网 络 需 要 更 加 明确 的 区 域 划分 。 

在 廉价 方案 的 基础 上 ， 我 们 建议 将 连接 Internet 的 路 由 器 更 换 成 Cisco ISR 1800 系列 集 
成 多 业务 路 由 器 ， 不 但 集成 了 基于 IOS 的 防火 墙 、 访问 控 制 等 功能 ， 还 提供 了 NAC 接 入 访 
问 控制 和 无 线 AP 功能 ， 同 时 为 以 后 公司 业务 升级 、 创 建 异地 办 公 室 提供 了 VPN 支持 和 语 
音 支 持 。 在 Cisco ISR 1841 上 还 可 以 配置 集成 的 IPS 模块 ， 更 加 有 效 地 检测 入 侵 行为 ,保护 
网 络 安全 ， 如 图 13-4 所 示 。 
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13-4 ISR 集成 入 侵 防御 模块 


同时 , 我 们 建议 使 用 Cisco Catalyst 3560 或 者 3750 系列 交换 机 用 于 提供 PVLAN. DHCP 
SNOOping、 动 态 VLAN, ARP 病毒 防护 等 机 制 ， 实 现 基本 的 网 络 安全 ， 同 时 由 于 提供 了 
VLAN 功能 , 还 可 以 更 加 清晰 地 划分 网 络 的 业务 区 域 。 车 全 网 均 采 用 Cisco 设备 ， 可 以 非常 
廉价 地 实现 基于 NAC Framework 的 接 入 访问 控制 服务 。 与 此 同时 , 使 用 Radius 服务 器 对 路 
由 器 和 交换 机 配置 AAA 控制 。 

小 型 企业 网 络 高 性 价 比 升级 方案 所 需 设 备 清 单 如 表 13-2 所 示 。 
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表 13-2 ”小 型 企业 网 络 高 性 价 比 升级 方案 设备 清单 


名 称 描 x 数 量 
服务 器 WSUS 服务 器 1 
CA 服务 器 
AD 服务 器 1 
RMS 服务 器 1 
Linux 防火 墙 1 
Linux Snort IDS 2 
Cisco Secure ACS 服务 器 1 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
路 由 器 Cisco ISR 1841 l 
集成 IPS 入 侵 防 御 模 块 ï 
交换 机 Cisco Catalyst 3750/3560 1 
杀毒 软件 Norton/Trend Micro 企业 版 杀毒 软件 1 
实施 高 性 价 比 升级 方案 后 的 网 络 拓扑 如 图 13-5 所 示 。 
Linux IDS i$ Ae Directory 
&r-—- ~ 和 ~ s Radius 
N P 证 书 代理 /CA 


itt RMS- | — bir 


Cisco Catalyst3750 
d Internet 提供 NAC ~ ARPI, A 
yr dsVlan. Pvlan'i iit 
1841 
KRDK. IPS ISA Server 2004 
或 者 inux VPDN/firewal 


Linux IDS 
带 加 密 功 能 的 
无 线 AP 


图 13-5 ”小 型 企业 网 络 高 性 价 比 升级 方案 


3. 高 安全 性 升级 方案 


对 于 资金 较为 充裕 的 小 型 企业 可 以 使 用 ASA 5505( 如 图 13-6 所 示 )， 实 现 UTM 统一 管 
理 威胁 ， 并 替换 原 有 的 Linux Firewall/ISA Servers 


图 13-6 ASA 5505 


基于 模块 化 的 接口 可 以 像 更 高 系列 的 ASA 一 样 扩展 接口 ,内 置 8 个 POE 以 太 网 供电 接 
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口 ,可 以 有 效 地 支持 人 P 电话 等 设备 。 对 于 资金 充足 的 用 户 , 还 可 以 选择 2 台 ASA 进行 失效 
转移 配置 ， 可 以 购置 防 病毒 模块 与 已 有 的 Trend Micro 杀毒 软件 进行 联动 。 网 络 高 安全 性 升 
级 方案 所 需 设备 清单 如 表 13-3 所 示 。 


表 13-3 中 小 企业 网 络 高 安全 性 升级 方案 设备 清单 


名 称 Hi xk 数 量 
服务 器 WSUS 服务 器 1 
CA 服务 器 1 
AD 服务 器 1 
RMS 服务 器 1 
Linux IDS 2 
Cisco Secure ACS 服务 器 1 
UTM Cisco ASA 5005 2 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
路 由 器 Cisco ISR 1841 1 
集成 IPS 入 侵 防御 模块 1 
交换 机 Cisco Catalyst 3750/3560. 1 
杀毒 软件 Norton/Trend Micro 企业 版 杀毒 软件 1 


实施 高 安全 性 升级 方案 后 的 网 络 拓扑 如 图 13-7 所 示 。 
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13-7 ”小 型 企业 网 络 高 安全 性 升级 方案 


13.2 ”中 型 企业 网 络 安全 设计 


应 用 实例 导航 : 中 型 企业 EDGE-EA 网 络 安全 解决 方案 
XGam edm 


EDGE-EA 是 通信 行业 的 一 个 中 型 企业 ， 拥 有 数 千 名 员工 ， 并 且 在 全 国 各 地 设立 了 分 支 
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机 构 ， 他 们 的 销售 人 员 通 常 在 进行 销售 的 过 程 中 ， 需 要 使 用 一 种 安全 的 方式 和 总 部 联系 来 
确定 订单 价格 ， 或 给 客户 演示 产品 使 用 环境 等 ， 对 VPN 的 需求 较 高 。 

为 了 有 效 保护 自己 的 研发 资料 不 被 恶意 攻击 ， 这 家 企业 较为 注重 网 络 安全 ， 在 其 发 展 
的 过 程 中 已 经 购置 了 一 些 网 络 安全 设备 ， 但 由 于 网 络 区 域 划分 不 科学 ， 这 些 设备 通常 没有 
发 挥 很 大 的 作用 。 由 于 经 费 问 题 ， 使 用 的 防火 墙 并 不 能 在 透明 模式 下 工作 ， 遇 到 攻击 后 ， 
防火 墙 一旦 损坏 就 会 导致 网 络 中 断 。 同 时 ， 这 家 企业 重视 总 部 网 络 安全 ， 忽 视 分 支 机 构 网 
络 的 安全 。 如 图 13-8 所 示 的 是 EDGE-EA 公司 的 网 络 拓扑 结构 示意 图 。 
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图 13-8 ”中 型 企业 网 络 


某 信 息 安 全 风险 评估 机 构 对 EDGE-EA 公司 进行 安全 审计 ， 其 结果 如 下 。 
分 支 机 构 和 总 部 的 连接 需要 采用 更 安全 的 IPSec VPN 或 者 MPLS VPN: 
为 经 常 出 差 的 用 户 提 供 VPDN 或 者 SSL VPN: 

网 络 中 接 入 的 主机 需要 更 加 严格 的 接 入 控制 ; 

杀毒 软件 需要 进行 集中 的 更 新 管理 ; 

AD, CA, RMS, Radius 等 服务 器 需要 进行 元 余 配置 ; 

总 部 防火 墙 需要 进行 元 余 配置 ; 

核心 网 络 路 由 协议 需要 进行 严格 的 加 密 ; 

核心 网 络 需 要 进行 元 余 配 置 ; 

所 有 的 网 络 设备 需要 配置 AAA 认证 ; 

交换 机 需要 进行 安全 保护 ， 并 配置 热 元 余 备 份 ; 

防火 墙 应 当 支 持 透明 模式 。 
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在 网 络 安全 性 升级 设计 时 ， 分 支 机 构 可 以 参考 上 一 节 的 小 型 企业 配置 ，AD、CA 等 基 
于 Windows 的 服务 器 均 可 以 配置 成 每 个 分 支 机 构 一 套 这 样 的 服务 器 ， 在 总 部 配置 AD、CA 
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的 根 服 务 器 。 同 时 可 以 根据 实际 的 情况 选择 ASA5510 一 ASA5550 部 署 在 网 络 前 端 ， 实 现 防 
火 墙 、VPN、IPS 和 防 病毒 网 关 功 能 。 同 时 ， 由 于 员工 数量 较 多 ， 可 以 在 内 部 网 络 中 实现 
CSA-MC 统一 管理 客户 端 安 全 ， 防 止 病毒 大 规模 爆发 的 损失 。 
由 于 这 类 企业 通常 在 发 展 过 程 中 ， 网 络 经 历 了 多 次 升级 ， 因 此 网 络 中 的 设备 经 常 来 自 
很 多 不 同 的 厂商 , 为 了 保持 兼容 性 , 我们 建议 使 用 NAC Appliance 接 入 控制 ， 防 止 带 病毒 主 
机 连 入 网 络 。 同 时 还 可 以 使 用 CSA-MC 和 IPS 进行 联动 ， 使 得 网 络 更 加 安全 。 

1. 廉价 升级 方案 

中 型 企业 分 支 机 构 和 小 型 企业 的 廉价 升级 方案 类 似 ， 设 备 清 单 如 表 13-4 所 示 。 

表 13-4 中 型 企业 分 支 机构 网 络 廉价 升级 方案 设备 清单 


名 称 Hi xk 数 量 
服务 器 WSUS 服务 器 1 
CA 服务 器 1 
AD 服务 器 1 
RMS 服务 器 1 
Linux IDS 服务 器 2 
Linux 防火 墙 服务 器 1 
Windows/Linux Radius 服务 器 1 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
杀毒 软件 Trend Micro 企业 版 杀毒 软件 
路 由 器 Linksys RV402 1( 提 供 到 总 部 的 IPSec 连接 ) 


分 支 机 构 实施 廉价 升级 方案 后 的 拓扑 结构 如 图 13-9 所 示 。 
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图 13-9 ”中 型 企业 分 支 机 构 网 络 廉价 升级 方案 


企业 总 部 由 于 员工 较 多 ， 并 且 需 要 多 个 远程 分 支 机 构 连接 ， 因 此 前 端 路 由 器 选择 了 基 
F ISR 2800 系列 的 路 由 器 ， 并 且 在 公司 总 部 网 络 安装 Trend Micro 管理 中 心 ， 用 于 管理 分 
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支 机 构 网 络 的 Trend Micro 企业 版 杀毒 软件 。 同 时 配置 WSUS, CA, AD 为 根 服务 器 ， 并 为 


总 部 配置 基于 NAC Framework 的 访问 控制 。 中 型 企业 总 部 网 络 廉价 升级 方案 所 需 设备 清单 
如 表 13-5 所 示 。 


表 13-5 ”中 型 企业 总 部 网 络 廉价 升级 方案 设备 清单 


名 称 Hi xk 数 量 

服务 器 WSUS 服务 器 ( 根 服务 器 ) 1 
CA 服务 器 ( 根 服务 器 ) 1 
AD 服务 器 ( 根 服务 器 ) 1 
RMS 服务 器 ( 根 服务 器 ) 1 
Linux [jj His 1 
Linux Snort IDS 2 
Cisco Secure ACS 服务 器 1 

无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 

路 由 器 Cisco ISR 2800 1 
集成 IPS 入 侵 防 御 模块 

交换 机 Cisco Catalyst 3750/3560. 1 

杀毒 软件 Trend Micro 企业 版 杀毒 软件 1 
Trend Micro 管理 中 心 1 

NAC NAC Framework 1 


实施 网 络 廉价 升级 方案 后 的 网 络 拓扑 如 图 13-10 所 示 。 
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图 13-10 ”中 型 企业 总 部 网 络 廉价 升级 方案 


2. 高 性 价 比 升级 方案 
在 高 性 价 比 升 级 方案 中 ， 我 们 可 以 考虑 增加 部 署 基于 CSA 的 客户 端 行为 保护 系统 。 中 
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型 企业 分 支 机 构 和 小 型 企业 的 高 性 价 比 升 级 方案 类 似 ， 设 备 清 单 如 表 13-6 所 示 。 
表 13-6 ”中 型 企业 分 支 机构 网 络 高 性 价 比 升级 方案 设备 清单 
名 称 dá x 数 量 
服务 器 WSUS 服务 器 1 
CA 服务 器 1 
AD 服务 器 1 
RMS 服务 器 1 
Linux [jj fis l 
Linux Snort IDS 2 
Cisco Secure ACS 服务 器 l 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
路 由 器 Cisco ISR 1841 1 
集成 IPS 入 侵 防 御 模块 1 
交换 机 Cisco Catalyst 3750/3560 1 
杀毒 软件 Norton/Trend Micro “企业 版 杀毒 软件 1 
客户 端 安全 CSA 为 每 台电 脑 配置 
CSA-MC 1 
实施 高 性 价 比 安全 升级 方案 后 的 拓扑 结构 如 图 13-12 所 示 。 
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C 或 者 inuxVPDNYirewal 
Linux IDS 
itt iezh hety 
无 线 AP 


图 13-11 ”中 型 企业 分 支 机 构 网 络 高 性 价 比 升级 方案 


对 于 企业 总 部 ， 可 以 选择 使 用 ISR 3800 路 由 器 获得 更 好 的 性 能 ， 同 时 在 总 部 尽量 使 用 
统一 厂商 的 设备 , 提供 整体 性 的 安全 解决 方案 .例如 基于 Cisco 的 NAC Framework, CSA-MC 
和 IPS 系统 进行 联动 等 ， 确 保 获得 更 高 的 安全 性 能 。 中 型 企业 总 部 网 络 高 性 价 比 升级 方案 
所 需 设备 清单 如 表 13-7 所 示 。 


* 394 - 


e 第 13 章 园区 网 络 安全 设计 s 


表 13-7 中 型 企业 总 部 网 络 高 性 价 比 升级 方案 设备 清单 


名 称 Hi x 数 量 
服务 器 WSUS 服务 器 ( 根 服务 器 ) 1 
CA 服务 器 ( 根 服务 器 ) 1 
AD 服务 器 ( 根 服 务 器 ) 1 
RMS 服务 器 ( 根 服务 器 ) 1 
Linux 防火 墙 1 
Linux Snort IDS 2 
Cisco Secure ACS 服务 器 1 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
路 由 器 Cisco ISR 3800 1 
集成 IPS 入 侵 防 御 模 块 1 
交换 机 Cisco Catalyst 3750/3560 1 
杀毒 软件 Trend Micro 企业 版 杀毒 软件 1 
Trend Micro 管理 中 心 1 
NAC NAC Framework 1 
客户 端 安全 CSA 为 每 台电 脑 配置 
CSA-MC 1 
实施 高 性 价 比 安全 升级 方案 后 的 拓扑 结构 如 图 13-12 所 示 。 
Trend Micro 杀毒 


管理 中 心 
Active -—— CSA-MC 
Directory ~ E 
) 
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Webymail 服 务 器 
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带 加 密 功能 的 
LinuxIDS EAP Trend Micro 4i 


服务 器 


13-12 ”中 型 企业 总 部 网 络 高 性 价 比 升 级 方案 


3. 高 安全 性 升级 方案 

在 高 安全 性 升级 方案 中 ， 建 议 部 署 NAC Appliance 的 安全 接 入 方案 ， 对 于 核心 网 络 和 
边界 防火 墙 进行 元 余 配置 ， 确 保 整 体 安全 性 能 提高 。 根 据 实 际 的 情况 选择 ASA5510 一 
ASA5550 部 署 在 网 络 前 端 ， 实 现 统一 威胁 管理 。 
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建议 在 ASA 中 使 用 CSC-SSM 防 病毒 网 关 ， 同 时 添置 外 置 的 IPS 4200 系列 入 侵 防 御 系 
统 组 成 一 个 完善 的 企业 网 络 。 将 核心 网 络 升级 到 Cisco 4500 或 使 用 3750 HESS SEC fi 
的 用 户 端口 访问 。 使 用 双 机 热 备 份 的 方式 ， 确 保 网 络 安全 、 稳 定 。 

对 于 分 支 机 构 ， 可 以 仍然 采用 ASA5005， 当 然 对 于 规模 较 大 的 分 支 机 构 也 可 以 采用 基 
于 ASA5510 的 平台 完成 安全 保护 。 

中 型 企业 分 支 机 构 网 络 高 安全 性 升级 方案 所 需 设 备 清 单 如 表 13-8 所 示 。 


表 13-8 中 型 企业 分 支 机 构 网 络 高 安全 性 升级 方案 设备 清单 


名 称 dá x Am om 
服务 器 WSUS 服务 器 1 
CA 服务 器 1 
AD 服务 器 1 
RMS 服务 器 1 
Linux 防火 墙 1 
Linux Snort IDS 2 
Cisco Secure ACS 服务 器 1 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
路 由 器 Cisco ISR 1841 1 
集成 IPS 入 侵 防御 模块 1 
交换 机 Cisco Catalyst3750/3560 1 
杀毒 软件 Norton/Trend Micro 企业 版 杀毒 软件 1 
客户 端 安全 CSA 为 每 台电 脑 配 置 
CSA-MC 1 
NAC NAC Clean Access 1 
UTM ASA 5005 或 ASA 5510 视 办 公 区 域 规模 而 定 
实施 高 安全 性 升级 后 的 拓扑 结构 如 图 13-13 所 示 。 
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图 13-13 ”中 型 企业 分 支 机 构 网 络 高 安全 性 升级 方案 
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中 型 企业 总 部 网 络 高 安全 性 升级 方案 所 需 设备 清单 如 表 13-9 所 示 。 
表 13-9 ”中 型 企业 总 部 网 络 高 安全 性 升级 方案 设备 配置 清单 
名 ER dá xk A 量 
服务 器 WSUS 服务 器 ( 根 服务 器 ) 1 
CA 服务 器 ( 根 服务 器 ) 2 双 机 热 备份 
AD 服务 器 ( 根 服务 器 ) 2 双 机 热 备 份 
RMS 服务 器 ( 根 服务 器 ) 1 
Linux 防火 墙 j 
Cisco Secure ACS 服务 器 1 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
路 由 器 Cisco ISR 3800 2 双 机 热 备份 
集成 IPS 入 侵 防 御 模块 2 双 机 热 备份 
交换 机 Cisco Catalyst 3750/3560 视 端 口 需求 而 定 
Cisco Catalyst 4500 2 双 机 热 备 份 
杀毒 软件 Trend Micro 管理 中 心 1 
Trend Micro 企业 版 杀毒 软件 
IPS Cisco IPS 4200 视 需 要 监控 的 区 域 而 定 
UTM ASA 5510~ 5550 2 双 机 热 备 份 
CSC-SSM 内 容 安全 模块 2 
NAC NAC Clean Access Manager(CAM) 1 
NAC Clean Access 1 
Clean Access 每 台电 脑 配置 
客户 端 安全 CSA 每 台电 脑 配置 
CSA-MC 1 


实施 高 安 


C Internet/ 分 支 €— 


全 性 升级 后 的 拓扑 结构 如 图 13-14 所 示 。 
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图 13-14 ”中 型 企业 总 部 网 络 高 安全 性 升级 方案 
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13.3 ”大 型 企业 网 络 安 全 设计 


应 用 实例 导航 : SADNESS 公司 网 络 安全 解决 方案 


※ 场 景 呈现 
SADNESS 公司 是 一 个 在 化 工行 业 处 于 垄断 地 位 的 大 型 企业 , 在 全 球 拥有 众多 的 分 支 机 
构 ， 通 常 采用 网 络 进行 产品 销售 ， 电 子 商 务 化 程度 很 高 ， 同 时 该 企业 无 纸 化 办 公 程 度 很 高 ， 
因此 对 于 网 络 安全 的 需求 也 很 高 。 在 公司 的 发 展 过 程 中 ， 由 于 网 络 安全 问题 导致 了 许多 损 
， 公 司 非常 重视 网 络 安全 方面 的 建设 ， 并 愿意 对 网 络 安全 进行 大 量 的 投资 。SADNESS 公 
司 的 网 络 拓扑 结构 如 图 13-15 所 示 。 
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13-15 ”大 型 企业 网 络 


* 398 * 


s 第 13 章 园区 网 络 安全 设计 a 


为 了 保证 网 络 安 全 , SADNESS 公司 每 个 部 门 和 每 个 分 支 机 构 都 配备 了 防火 墙 和 IPS 系 
统 ， 并 安装 了 大 量 的 杀毒 软件 。 由 于 分 支 机 构 经 常 软件 升级 不 及 时 等 情况 ， 导 致 分 支 机 构 
成 为 倪 偶 网 络 ， 对 公司 总 部 骨干 网 络 发 起 DDoS 攻击 等 。 

对 于 如 SADNESS 公司 这 类 企业 ， 我 们 通常 需要 从 全 局 进行 考虑 整个 网 络 的 安全 性 ， 
并 对 网 络 安全 设备 进行 集中 管理 ， 同 时 ， 还 需要 考虑 使 用 一 个 设备 虚拟 成 多 个 设备 进行 部 
署 ， 降 低 网 络 受到 攻击 时 的 系统 风险 。 

建议 公司 总 部 配置 Trend Micro 企业 级 防 病毒 系统 ， 配 置 NAC Appliance; 由 于 有 大 量 
的 设备 和 管理 员 ， 必 须 配 置 AAA 管理 服务 器 ; 建议 安装 Cisco Works 进行 网 络 管理 ， 使 用 
CS-MARS 对 企业 内 部 的 所 有 安全 设备 进行 监控 ; 为 了 节约 成 本 和 使 用 集中 的 管理 方式 ， 建 
议 核 心 交换 机 使 用 Cisco 6500 系列 ， 并 部 署 集成 IDSM-2 和 FWSM 的 模块 ， 以 提供 集中 的 
防火 墙 和 入 侵 检测 分 析 功 能 ， 如 图 13-16 所 示 。 
C Internet ) 


Z 


内 部 办 公 网 络 
13-16 ”大 型 企业 网 络 拓扑 结构 


建议 使 用 WSUS 自动 升级 服务 器 为 网 络 服务 器 和 客户 机 提供 升级 服务 ,使 用 Cisco ICS 
对 网 络 设备 进行 升级 ;为 防御 DDoS 攻击 ， 建 议 部 署 DDoS 防御 系统 。 

我 们 还 建议 这 类 用 户 在 其 企业 网 络 中 为 关键 的 设备 配置 足够 的 元 余 空间 ， 并 且 对 于 数 
据 中 心 建议 使 用 异地 数据 备份 的 方式 。 

整个 大 型 企业 网 络 所 需 服务 器 、 硬 件 环境 及 安全 设备 如 图 13-17 Bras. 

实施 大 型 企业 总 部 网 络 安全 性 升级 方案 所 需 设备 清单 如 表 13-10 所 示 。 
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图 13-17 ”大 型 企业 网 络 所 需要 的 服务 器 、 硬 件 环境 及 安全 设备 


表 13-10 ”大 型 企业 总 部 网 络 安全 性 升级 方案 设备 清单 


名 称 m om 
服务 器 多 台 分 布 式 部 署 
2 双 机 热 备份 
2 双 机 热 备份 
1 
Linux 防火 墙 1 
2 
无 线 网 视 办 公 区 域 规模 而 定 
路 由 器 2 双 机 热 备份 
2 双 机 热 备份 
交换 机 视 端口 需求 而 定 
2 双 机 热 备份 
杀毒 软件 Trend Micro 管理 中 心 1 
Trend Micro 企业 版 杀毒 软件 
UIM ASA 5510—5550 2 双 机 热 备份 
CSC-SSM 内 容 安全 模块 2 
NAC NAC Clean Access Manager(CAM) 1 
NAC Clean Access 1 
Clean Access 每 台电 脑 配置 
客户 端 安全 CSA 每 台电 脑 配 置 
CSA-MC 1 
入 侵 检 测 ISDM-2 视 需 要 监控 的 端口 数量 而 定 
IPS 4200 用 于 部 署 在 边界 
DDoS 
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DDoS Guard Detector 2 
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续 表 
名 称 数 量 
安全 响应 CS-MARS Global 1 
CS-MARS Local 每 个 分 支 机 构 配 置 一 台 
流量 管理 Cisco SCE 2000 2 
快速 响应 Cisco ICS 服务 器 1 
实施 大 型 企业 分 支 机 构 网 络 安全 性 升级 方案 所 需 设 备 清单 如 表 13-11 所 示 。 
表 13-11 大 型 企业 分 支 机 构 网 络 安全 性 升级 方案 设置 清单 
名 称 dá xt mom 

服务 器 WSUS 服务 器 1 

CA 服务 器 1 

AD 服务 器 1 

RMS 服务 器 1 

Linux 防火 墙 1 

Linux Snort IDS 2 

Cisco Secure ACS 服务 器 1 
无 线 网 提供 加 密 接 入 的 无 线路 由 器 或 无 线 AP 视 办 公 区 域 规模 而 定 
路 由 器 Cisco ISR 1841 1 

集成 IPS 入 侵 防御 模块 1 
交换 机 Cisco Catalyst 3750/3560 1 
杀毒 软件 Norton/Trend Micro 企业 版 杀毒 软件 1 
客户 端 安全 CSA 为 每 台电 脑 配 置 

CSA-MC 1 
NAC NAC Clean Access 1 
UTM ASA 5005 或 ASA 5510 视 办 公 区 域 规模 而 定 
安全 响应 CS-MARS Local 1 


实施 网 络 安全 性 升级 后 的 拓扑 结构 如 图 13-18 所 示 。 
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图 13-18 ”大 型 企业 分 支 机 构 网 络 安全 性 升级 方案 
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13.4 ”校园 网 络 安全 设计 


应 用 实例 导航 : AST 大 学 校园 网 络 安全 解决 方案 
KAREM 


AST 大 学 属于 全 国 重点 高 校 ， 随 着 校园 信息 化 建设 , 校园 网 络 中 接 入 的 设备 越 来 越 多 。 
由 于 经 费 问题 ， 没 有 及 时 对 网 络 进行 升级 ， 网 络 设备 采购 没有 持续 性 ， 每 一 笔 采 购 都 采用 
不 同 厂 商 的 产品 ， 导 致 网 络 管理 难度 较 大 。 由 于 以 太 网 部 署 方式 ， 导 致 校园 网 内 的 病毒 
id. 

随 着 学 校 的 发 展 ， 学 校 逐渐 实施 一 卡通 项 目 ， 整 个 网 络 的 安全 性 将 变 得 更 加 重要 。 如 
果 出 现 网 络 攻 击 导致 一 卡通 系统 故障 ， 将 会 给 全 校 师 生 的 生活 带 来 非常 大 的 不 便 ， 并 产生 
大 量 的 经 济 损失 。 

AST 大 学 由 老 校 区 和 若干 个 分 校区 组 成 ， 其 拓扑 结构 如 图 13-19 所 示 。 
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近 几 年 的 扩招 ， 导 臻 AST 大 学 没有 足够 的 财力 用 于 网 络 安全 方面 的 建设 。 目 前 ，AST 
大 学 使 用 该 校 信息 安全 学 院 自 己 研 发 的 一 些 安全 设备 来 提升 网 络 的 安全 性 , 例如 基于 Linux 
的 防火 墙 、 内 容 过 滤 、IDS 等 系统 。 除 此 之 外 ， 还 采用 一 些 免 费 软 件 用 于 网 络 安全 监控 等 。 


建设 一 个 安全 可 靠 、 稳 定 可 管理 的 网 络 已 成 为 人 们 的 共识 。 对 校园 网 而 言 ， 这 可 能 需 
要 管理 者 们 付出 更 大 的 努力 。 高 校 校园 网 服务 于 教学 科研 的 宗旨 ， 决 定 了 其 必然 是 一 个 管 
理 相对 宽松 的 开放 式 系 统 ， 无 法 做 到 像 企业 网 一 样 进行 严格 统一 的 管理 ， 这 使 得 保障 校园 
网 安全 成 为 一 个 大 的 挑战 。 对 于 应 用 实例 导航 所 提 及 的 AST 大 学 ， 如 何 选择 相对 廉价 的 网 
络 安全 产品 并 有 效 地 提高 网 络 安全 性 成 为 安全 升级 的 重点 。 

对 于 校园 网 络 安全 ，AST 大 学 的 案例 值得 我 们 学 习 和 借鉴 。 下 面 简要 地 介绍 该 校 在 网 
络 安全 采取 的 技术 和 管理 措施 ， 这 些 措施 可 能 不 是 很 全 面 很 系统 ， 但 对 校园 网 的 管理 人 员 
最 少 起 到 一 个 抛砖引玉 的 作用 。 

(1) 部 署 基于 Cisco Catalyst 6500 的 核心 设备 , 并 集成 FWSM 和 IDSM-2 来 实现 集中 的 
安全 管理 功能 。 对 于 接 入 用 户 ， 可 以 采用 PPPoE 的 方式 进行 接 入 认证 。 

Q) 从 自身 情况 出 发 ， 根 据 不 同 控制 策略 的 要 求 ， 对 校园 网 边界 路 由 器 、 各 校区 核心 
交换 机 、 汇 聚 点 交换 机 以 及 楼 内 三 层 交 换 机 分 级 配置 合理 的 访问 控制 列表 (ACL)， 从 而 保障 
网 络 安全 。 相 关 配 置 机 制 如 下 。 

今 “ 对 蠕虫 病毒 常见 传播 端口 和 其 他 特征 的 控制 ， 可 以 有 效 控制 蠕虫 病毒 大 面积 扩散 。 

邻 “ 对 常见 木马 端口 和 系统 漏洞 开放 端口 的 控制 ， 可 以 有 效 降 低 网 络 攻击 和 扫描 的 成 

功率 。 

今 “ 对 卫 源 地 址 的 检查 将 使 部 分 攻击 者 无 法 冒 用 合法 用 户 的 TP 地 址 发 动 攻击 。 

仿 “ 对 部 分 ICMP 报 文 的 控制 将 有 助 于 降低 Smurf 攻击 的 威胁 。 

令 “ 在 网 络 安全 日 常 管理 维护 和 出 现 病毒 爆发 或 其 他 突 发 安全 威胁 时 ， 合 理 配 置 ACL 

将 有 助 于 快速 定位 和 清除 威胁 。 

(3) 校园 网 采用 用 户 静 态 IP 地 址 管理 模式 。 所 有 网 络 用 户 入 网 前 需要 事先 从 网 络 中 心 
申请 获取 静态 IP 地 址 .网 络 中 心 收 到 申请 后 在 用 户 接 入 的 二 层 交 换 机 上 完成 一 次 用 户 MAC 
与 接 入 交换 机 端口 的 绑 定 ， 并 在 用 户 楼 内 三 层 交 换 机 上 实现 用 户 IP/MAC 绑 定 ， 使 用 这 种 
方法 来 确认 最 终 用 户 ， 消 除 IP 地 址 盗用 等 情况 。 虽 然 看 上 去 比较 复杂 ， 但 由 于 网 络 中 心 针 
对 校园 网 中 使 用 的 各 种 不 同 厂 家 和 类 型 交换 机 都 开发 了 相应 的 绑 定 程序 ， 所 有 的 绑 定 管理 
工作 都 由 程序 自动 完成 ， 所 以 管理 人 员 的 工作 量 并 不 大 。 网 络 中 心 的 网 管 数据 库 里 存放 着 
全 校 范围 内 数 千 台 接 入 交换 机 的 端口 -用 户 房间 端口 信息 数据 ， 以 及 所 有 用 户 的 详细 使 用 信 
息 和 相关 IP-MAC 资料 ， 所 有 这 些 都 为 建立 可 管理 的 安全 校园 网 提供 了 基础 。 这 种 管理 模 
式 的 好 处 很 多 : 一 旦 出 现 扫描 攻击 、 垃 圾 邮件 等 网 络 安全 事件 ， 根 据 IP/MAC/ 端 口 可 以 在 
第 一 时 间 迅 速 定 位 来 源 ， 从 而 为 采取 下 一 步 处 理 措施 提供 准确 的 依据 。 这 样 一 个 完整 准确 
的 用 户 信息 系统 ， 为 以 后 构想 中 的 网 络 自 防 御 体 系 创 造 了 条 件 。 

(à) 在 病毒 的 防 控 方 面 ， 学 校 采 取 中 央 集 中 控制 管理 的 模式 ， 统 一 采购 网 络 版 杀毒 软 
件 ， 免 费 提 供给 校内 用 户 使 用 ， 使 得 病毒 库 可 以 及 时 快速 升级 。 此 外 ， 建 立 一 个 校内 网 络 
安全 站 点 及 时 发 布 安 全 公告 ， 提 供 一 些 安全 建议 和 相关 安全 工具 下 载 也 是 十 分 必要 的 。 

(5) 在 2003 年 冲击 波 病毒 爆发 以 后 ， 网 络 中 心 开 始 思考 如 何 应 对 由 于 微软 操作 系统 漏 
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洞 引 起 的 大 规模 蠕虫 病毒 感染 。 当 年 就 建立 了 微软 软件 更 新 (SUS) 站 点 ， 给 校园 网 用 户 提供 
微软 操作 系统 补丁 的 快速 自动 更 新 。 今 年 又 建立 了 微软 Windows 软件 更 新 (WSUS) 站 点 和 
Linux 系列 操作 系统 的 自动 更 新 站 点 ， 提 供 操作 系统 、 微 软 Office 应 用 程序 、SQL 数据 库 的 
校内 快速 自动 更 新 服务 。 因 为 WSUS 的 数据 库 里 可 以 存储 所 有 用 户 的 更 新 信息 ， 所 以 网 络 
中 心 就 可 以 掌握 校内 计算 机 的 漏洞 分 布 情况 ， 并 且 用 户 是 否 安装 了 补丁 可 以 一 目 了 然 。 为 
了 普及 校内 计算 机 安装 自动 更 新 ， 尽 可 能 消除 操作 系统 级 别 的 安全 隐患 ， 进 行 半 强制 性 的 
安装 。 

(6) 在 校园 网 边界 出 口 部 署 了 IDS， 在 核心 路 由 器 上 启用 了 NetFlow, sFlow 等 进行 监 
控 ， 对 关键 的 网 络 结 点 通过 端口 镜像 、 分 光 等 方式 进行 进一步 分 析 处 理 网 络 数据 包 ， 通 过 
部 署 基于 Nessus 的 漏洞 扫描 服务 器 对 校园 网 计算 机 进行 定期 安全 扫描 。 及 时 查看 并 分 析 处 
理 这 些 监 控 数据 和 报表 有 助 于 在 第 一 时 间 发 现 异 常 网 络 安全 事件 并 进行 处 理 ， 防 患 于 未 然 。 

C) 对 于 无 线 网 络 的 安全 而 言 ， 用 户 接 入 认证 是 非常 关键 的 。 网 络 中 心 使 用 了 校内 统 
一 身份 认证 来 限制 校外 用 户 未 经 授权 的 无 线 访 问 。 由 于 WEP 认证 具有 天 然 的 弱 安 全 性 ， 网 
络 中 心 又 同时 提供 了 基于 802.1x 的 认证 平台 进行 校内 统一 身份 认证 并 鼓励 用 户 使 用 。 

(8) 宿舍 网 的 网 络 安全 管理 在 很 多 学 校 往往 是 比较 头疼 的 ，AST 大 学 网 络 中 心 在 这 方 
面 取 得 了 让 学 校 师 生 满 意 的 效果 ， 而 且 ， 网 络 中 心 也 没有 太 多 人 力 投入 其 中 。 根 本 原因 还 
是 在 学 校 有 关 部 门 的 大 力 配 合 下 ， 建 立 了 一 支 由 数 百人 组 成 的 学 生 宿 舍 网 管 员 队伍 ， 每 座 
楼 都 配 有 至 少 一 名 学 生 网 管 员 ， 一 般 在 楼 内 招聘 。 日 常 管理 由 学 生 工 作 部 门 负责 ， 工 资 待 
遇 纳 入 学 校 勤 工 助 学 体系 ， 网 管 员 的 具体 工作 由 网 络 中 心 加 以 指导 。 通过 培训 这 些 学 生 网 
管 员 掌 握 基 本 的 网 络 安全 意识 和 技能 ， 大 量 的 网 络 安全 问题 都 消失 在 萌芽 状态 。 当 处 于 病 
毒 爆 发 期 或 有 网 络 安全 突 发 事件 时 ， 分 布 在 全 校 各 处 的 学 生 网 管 员 也 可 以 第 一 时 间作 出 响 
应 ， 协 助 网 络 中 心 的 工作 。 
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运营 商 网 络 需要 保护 的 设备 主要 是 路 由 器 、 交 换 机 等 数据 转发 设备 的 安全 、IDC 中 的 
服务 器 安全 以 及 全 网 的 攻击 防范 ， 特 别 是 DDoS 攻击 和 蠕虫 病毒 。 对 这 两 种 可 能 对 互联 网 
造成 大 范围 网 络 瘫痪 和 巨大 经 济 损失 的 网 络 安全 事故 ， 运 营 商 需要 采用 一 切 必要 技术 和 管 
理 手段 进行 防范 。 因 此 我 们 建议 使 用 基于 Arbor PeakFlow 进行 流量 分 析 ， 并 建立 DDoS iif 
洗 中 心 进行 防御 。 同 时 ， 通 过 Cisco Works. CS-MARS(CS-MARS 可 以 配置 为 Global 模式 
和 Local 模式 ， 从 而 实现 Cluster 的 部 署 方式 )、ICS 等 系统 的 部 署 ， 可 以 方便 地 对 系统 进行 
安全 管理 ， 如 图 13-20 所 示 。 

通常 ， 运 营 商 网 络 中 的 大 多 数 病 毒 来 自 宽带 接 入 用 户 ， 因 此 有 必要 使 用 MPLS 等 方式 
对 宽带 接 入 用 户 和 企业 用 户 进行 分 离 。 同时 运营 商 可 以 部 署 基 于 Cisco CRS-1 的 数据 交换 平 
台 ， 即 便 是 在 严重 的 DoS 或 者 DDoS 攻击 导致 线 卡 超 出 CRS-1 的 插 槽 容量 时 ， 控 制 机 制 会 
以 特定 用 途 集 成 电路 (ASIC) 的 速度 执行 ， 将 超出 线 卡 容 量 的 分 组 导入 第 三 层 模 块 化 服务 卡 
(MSC) 上 的 硅 分 组 处 理 器 ， 从 而 确保 控制 面板 分 组 得 到 优先 处 理 。 在 网 络 管理 员 利 用 其 他 安 
全 工具 安装 缓解 方案 以 解决 问题 时 ， 这 种 功能 可 以 保持 拓扑 的 完整 性 。 
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13-20 ”运营 商 DDoS 蠕虫 清洗 系统 


对 于 运营 商 网 络 ， 还 需要 保证 如 下 协议 的 安全 。 


$9999 9994 
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通过 路 由 协议 认证 的 方式 保证 ISIS, BGP 路 由 协议 安全 。 

限制 用 户 VRF 表 的 大 小 ， 保 证 MPLS 网 络 安全 。 

对 PIM 协议 进行 MD5 iA üE. XJ MSDP 进行 MD5 认证 ， 保 证 组 播 网 络 安全 ， 防 止 
利用 虚假 SA 消息 对 MSDP 进行 DDoS 攻击 。 

保护 NTP Server， 防 止 因为 时 间 混 乱 导致 计 费 不 准 等 事故 。 

保护 VTY 线路 ， 防 止 黑 客 登 录 。 

关闭 网 络 设备 HTTP 等 不 用 的 访问 ， 同 时 保护 SNMP 安全 。 

设备 访问 采用 AAA 集中 认证 。 

开启 设备 NetFlow, sFlow 等 流量 检测 ， 对 于 10G 链 路 采用 1 : 4000 采样 、2.5G 
以 下 链 路 采用 1 : 1000 采样 。 

对 IGP、BGP 路 由 协议 汇聚 参数 进行 分 析 ， 并 使 用 被 动 侦 听 的 方式 检测 路 由 震荡 
信息 。 


13.6 本 章 小 结 


本 章 介 绍 了 各 种 类 型 网 络 的 安全 部 署 方式 ， 企 业 、 学 校 、 运 营 商 可 以 根据 自身 的 实际 
需求 进行 分 析 并 部 署 网 络 安全 设备 。 但 是 需要 牢记 的 是 ， 网 络 安全 永远 是 一 个 整体 ， 网 络 
安全 性 能 的 高 低 取决 于 最 薄弱 的 一 个 设备 。 因 此 指定 网 络 安全 升级 方案 是 需要 全 局 统筹 进 
行 。 对 于 企业 发 展 而 言 ， 设 备 购买 也 需要 有 持续 性 ， 尽 量 选择 一 个 厂商 的 设备 ， 并 实行 统 
一 安全 管理 。 
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